GitHub, Emotet i Winamp: o czym nie pisaliśmy w minionym tygodniu

Od czasu do czasu trafiają się wydarzenia, które oddzielnie są nieco zbyt małe, by przygotować na ich temat rzetelny materiał. Gdy jest ich na tyle dużo, że sama ich liczba staje się historią, przygotowujemy ich zestawienia. W tym tygodniu do takich tematów należą wskrzeszenie Emoteta, relacja GitHuba z npm oraz nowe wieści w kwestii Winampa.

Trojan Emotet, swego czasu odpowiedzialny na groźne kampanie i złożone łańcuchy infekcji, został reaktywowany po wielomiesięcznej przerwie. Jego infrastrukturę przejęto i wyłączono w styczniu, a obecnie mamy do czynienia z nowszą, usprawnioną wersją, wspomaganą przez innego szkodnika, którym jest TrickBot.

Niniejszy obrót spraw wynika ze zmian (czarno-) rynkowych. Kolejne grupy przestępcze operujące na zasadach ransomware-jako-usługa, są zamykane przez międzynarodowe policje, a "pajączki" dystrybucji trojanów są rozmontowywane. Zaawansowane złośliwe oprogramowanie nie może być łatwo dystrubuowane, a zyski z niego - zarządzanie w prosty sposób. Przestępcy stoją przed koniecznością poprawy infrastruktury.

Jeżeli już mowa o złośliwym oprogramowaniu, pewna ciekawa informacja pojawiła się na blogu GitHuba. Jest to dość chronicznie mało inspirujące miejsce i właśnie w takim tonie brzmiał tytuł "GitHub’s commitment to npm ecosystem security", poświęcony w większości informacjom na temat wymagania dwuskładnikowego uwierzytelniania dla dostawców oraz maintainerów pakietów publikowanych w ramach npm.

Niemal mimochodem wtrącono informację o tym, że do niedawna możliwe było… opublikowanie nowej wersji pakietu npm-owego nie mając do tego uprawnień! Błąd znajdował się w usługach rejestru npm od dawna, a przynajmniej od września 2020. Data ta bierze się jednak wyłącznie z tego, że z tego miesiąca pochodzą najstarsze dostępne w GitHubie logi.

Wstrzyknięcie złośliwego kodu do rejestru npm, wykorzystywanego przez setki tysięcy programistów i automatycznych łańcuchów CI/CD, budujących oprogramowanie z wykorzystaniem zewnętrznych bibliotek, to ostateczny "nightmare scenario". Npm stanowi punkt nieskończonego zaufania dla olbrzymiej liczby programów i usług. Złośliwe biblioteki mogłyby siać zniszczenie na prawdziwie światową skalę.

Błąd został załatany. Zgłosili go Polacy, Kajetan Grzybowski i Maciej Piechota.

Z letargu obudził się Winamp. Jego strona internetowa zaprasza teraz do zapisania się do programu betatestów nowej wersji. Jest ona reklamowana jako połączenie odtwarzacza muzyki, platformy do kontaktu twórców ze słuchaczami oraz sposobu na spieniężenie twórczości.

Winamp przespał strumieniowanie muzyki i podcasty w podobny sposób, na który Nokia przespała smartfony. Oferowali "mniej więcej" zbliżone rozwiązania, ale formuła uległa ugruntowaniu w sposób, jaki był im obcy. Nokia miała klawiaturowe Symbiany gdy świat standaryzował się na czarnych prostokątach, a Winamp chwalił się przed światem swoim radio-serwerem ShoutCast, gdy ludzie szukali treści przez YouTube i Spotify.

Być może nowy Winamp będzie interesujący, ale należy pamiętać o tym, że przemeblowanie jego strony internetowej i rozpoczęcie nowej akcji zbierania maili celem informowania o nadchodzących niechybnie nowościach to scenariusz który zdarzył się już dwukrotnie.