Ein weitverbreitetes NPM-Paket löscht die Dateien von russischen Entwicklern und vervielfältigt Anti-Kriegsbotschaften.

Aus Protest gegen den Ukrainekrieg veröffentlichte der Entwickler des beliebten NPM-Paketes Node-IPC eine sabotierte Version der Bibliothek. Neue Versionen des Paketes begannen damit, alle Dateien auf den Rechnern von Entwicklern aus Russland oder Belarus zu überschreiben und Textdateien mit Botschaften gegen den Krieg zu erstellen.

Das Node-IPC-Paket ist mit rund einer Million wöchentlichen Downloads weit verbreitet und wird beispielsweise von Bibliotheken wie Vue.js CLI verwendet. Bereits am 7. März fügte der Entwickler besagte Schadfunktion hinzu, welche die externe IP-Adresse des Systems ausliest. Wird diese Russland oder Belarus zugeordnet, werden Dateien gelöscht und stattdessen die Botschaften platziert.

Laut dem Onlinemagazin Bleepingcomputer enthalten die Versionen 10.1.1 und 10.1.2 den Schadcode (CVE-2022-23812). Insbesondere die Datei ssl-geospec.js enthalte base64-codierte Zeichenfolgen und andere Verschleierungstaktiken, um den Zweck des Programmes zu verbergen.

Die Node-IPC-Versionen 9.2.2, 11.0.0 und höher enthalten zudem ein Modul mit dem Namen peacenotwar, welches Dateien mit mehrsprachigen Botschaften gegen den Krieg auf dem Desktop ablegt. Entsprechende Open-Source-Softwarepakete mit den Namen peacenotwar und oneday-test hatte der Node-IPC-Entwickler RIAEvangelist am 8. März auf NPM und Github veröffentlicht.

“Dieser Code dient als nicht-destruktives Beispiel dafür, warum es wichtig ist, seine Node-Module zu kontrollieren”, erklärt RIAEvangelist. “Er dient auch als gewaltfreier Protest gegen die russische Aggression, die die Welt gerade bedroht.” Insgesamt verwaltet RIAEvangelist 40 Pakete auf NPM.

Die Aktion sieht sich scharfer Kritik ausgesetzt. Das Verhalten gehe weit über friedlichen Protest hinaus und führe zerstörerische Funktionen ohne jegliche Warnung für ehrliche Nutzer ein. Ein Github-Nutzer bezeichnete dies als “großen Schaden” für die Glaubwürdigkeit der gesamten Open-Source-Gemeinschaft.

Hierbei handelt es sich bereits um den zweiten Fall in diesem Jahr, in dem Entwickler ihre NPM-Pakete sabotieren. Bereits im Januar hatte der Entwickler der millionenfach genutzten NPM-Pakete Colors und Faker diese unbrauchbar gemacht.

In einem Ticket auf Github kritisiert ein Nutzer, der angibt, ein Mitglied einer US-NGO (Non-Governmental Organization) zu sein, dass auch ein Server der NGO in Belarus durch die Löschaktion der Software betroffen sei. Der Server sei von der NGO genutzt worden, um trotz der Internetzensur Kontakt mit Whistleblowern aufnehmen zu können. 2.500 Whistleblower hätten die NGO seit dem Start im Jahr 2014 über verschiedene Missstände vor Ort informiert.

Durch eine Aktualisierung des Moduls Node-IPC seien alle Daten gelöscht worden. Das letzte Backup stamme vom 20. Februar und damit noch aus der Zeit vor der russischen Invasion in der Ukraine. Seitdem hätten sich die Informationseingänge vervielfacht. “Ich kann nur sagen, dass Ihr kleiner Unfug uns mehr geschadet hat, als es Putin oder Lukaschenka je könnten”, betonte der Github-Nutzer.