بنك روسى ينصح العملاء بالتوقف عن تحديث البرامج

مع الحرب الروسية الأوكرانية، تشعر قطاعات التكنولوجيا بالعواقب، بما في ذلك تطوير البرمجيات مفتوحة المصدر، ففي إعلان حديث، نصح البنك الروسي Sber عملائه بالتوقف مؤقتًا عن تثبيت تحديثات البرامج على أي تطبيقات خوفًا من أنها قد تحتوي على تعليمات برمجية ضارة تستهدف المستخدمين الروس على وجه التحديد حسبما نقل موقع The verege.

وكما ورد في مواقع إخبارية باللغة الروسية، جاء في إعلان سبير ما يلي: أصبحت حالات محتوى الوسائط الاستفزازية التي يتم إدخالها إلى البرامج الموزعة مجانًا أكثر تواترًا. بالإضافة إلى ذلك يمكن تضمين محتوى مختلف ورموز ضارة في مكتبات يتم توزيعها مجانًا وتستخدم لتطوير البرامج. يمكن أن يؤدي استخدام مثل هذه البرامج إلى الإصابة بالبرامج الضارة لأجهزة الكمبيوتر الشخصية والشركات ، فضلاً عن البنية التحتية لتكنولوجيا المعلومات. عندما كانت هناك حاجة ملحة لاستخدام البرنامج ، نصح Sber العملاء بفحص الملفات باستخدام أحد برامج مكافحة الفيروسات أو إجراء مراجعة يدوية لكود المصدر - وهو اقتراح من المحتمل أن يكون غير عملي ، إن لم يكن مستحيلًا ، بالنسبة لمعظم المستخدمين. على الرغم من أن الإعلان تم تصميمه بعبارات عامة، فمن المحتمل أنه تم إصداره في إشارة إلى حادثة وقعت في وقت سابق من شهر مارس، حيث أضاف مطور مكتبة جافا سكريبت المستخدمة على نطاق واسع تحديثًا قام بالكتابة فوق الملفات الموجودة على الأجهزة الموجودة في روسيا أو بيلاروسيا. من المفترض أن التحديث الذي تم تنفيذه باعتباره احتجاجًا على الحرب، أثار قلق الكثيرين في مجتمع المصادر المفتوحة، مع مخاوف من أنه قد يقوض الثقة في أمن البرمجيات مفتوحة المصدر بشكل عام. تم إجراء التحديث في وحدة جافا سكريبت تسمى node-ipc ، والتي ، وفقًا لمدير الحزم NPM ، يتم تنزيلها حوالي مليون مرة في الأسبوع وتستخدم كتبعية بواسطة إطار تطوير الواجهة الأمامية الشهير Vue.js. وفقًا لـ The Register ، تم إجراء تحديثات لـ node-ipc في 7 مارس و 8 مارس رمزًا مضافًا يتحقق مما إذا كان عنوان IP الخاص بجهاز مضيف قد تم تحديده جغرافيًا في روسيا أو بيلاروسيا ، وإذا كان الأمر كذلك ، فاستبدل أكبر عدد ممكن من الملفات برمز القلب. تم الاستغناء عن نسخة لاحقة من الوحدة النمطية من وظيفة الكتابة بدلاً من ذلك وأسقطت ملفًا نصيًا على أجهزة سطح المكتب للمستخدمين يحتوي على رسالة مفادها أن "الحرب ليست الحل. على الرغم من أن السمات الأكثر تدميراً لوحدة "بروتستواري" لم تعد تظهر في الكود ، إلا أنه من الصعب التراجع عن العواقب. نظرًا لأن المكتبات مفتوحة المصدر أساسية لتطوير البرمجيات ، فقد يكون لفقدان الثقة بشكل عام في سلامتها آثار غير مباشرة على المستخدمين في روسيا وأماكن أخرى. في تغريدة أشارت محللة الأمن السيبراني سيلينا لارسون إلى ذلك على أنه "انعدام الأمن القسري". بشكل عام أدان مجتمع المصادر المفتوحة بشدة تحديث node-ipc .