Protestware
O que é Protestware?
ProtestwareSoftware open source em que o mantenedor adiciona codigo de motivacao politica que apresenta uma mensagem ou sabota utilizadores percebidos como sendo de um pais visado.
O protestware e uma categoria polemica: mantenedores de bibliotecas open source populares publicam deliberadamente versoes que mostram slogans politicos, recusam-se a executar ou, em casos extremos, destroem dados em maquinas geolocalizadas numa regiao alvo. O caso mais conhecido e o node-ipc em marco de 2022, em que o mantenedor publicou uma versao que apagava ficheiros em sistemas geolocalizados na Russia ou na Bielorrussia, atingindo tambem organizacoes humanitarias e empresas alheias ao conflito. Outros exemplos sao faker.js e colors.js, onde o mantenedor sabotou os proprios pacotes em protesto contra trabalho nao remunerado. Independentemente da causa, a maioria das politicas empresariais trata o protestware como ataque de cadeia de fornecimento. Defesas: lockfiles, revisao de alteracoes upstream, OpenSSF Scorecard e resposta a incidentes baseada em SBOM.
● Exemplos
- 01
node-ipc (marco de 2022): codigo peacenotwar/wiper visando IPs na Russia e Bielorrussia.
- 02
colors.js e faker.js (2022): o mantenedor introduziu ciclos infinitos para protestar contra falta de financiamento.
● Perguntas frequentes
O que é Protestware?
Software open source em que o mantenedor adiciona codigo de motivacao politica que apresenta uma mensagem ou sabota utilizadores percebidos como sendo de um pais visado. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Protestware?
Software open source em que o mantenedor adiciona codigo de motivacao politica que apresenta uma mensagem ou sabota utilizadores percebidos como sendo de um pais visado.
Como funciona Protestware?
O protestware e uma categoria polemica: mantenedores de bibliotecas open source populares publicam deliberadamente versoes que mostram slogans politicos, recusam-se a executar ou, em casos extremos, destroem dados em maquinas geolocalizadas numa regiao alvo. O caso mais conhecido e o node-ipc em marco de 2022, em que o mantenedor publicou uma versao que apagava ficheiros em sistemas geolocalizados na Russia ou na Bielorrussia, atingindo tambem organizacoes humanitarias e empresas alheias ao conflito. Outros exemplos sao faker.js e colors.js, onde o mantenedor sabotou os proprios pacotes em protesto contra trabalho nao remunerado. Independentemente da causa, a maioria das politicas empresariais trata o protestware como ataque de cadeia de fornecimento. Defesas: lockfiles, revisao de alteracoes upstream, OpenSSF Scorecard e resposta a incidentes baseada em SBOM.
Como se defender contra Protestware?
As defesas contra Protestware costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Protestware?
Nomes alternativos comuns: Pacote com motivacao politica, Atualizacao sabotada.
● Termos relacionados
- attacks№ 647
Pacote npm malicioso
Pacote npm que contem codigo oculto para roubar dados, instalar malware ou comprometer aplicacoes que o incluem assim que e instalado.
- attacks№ 1116
Ataque à cadeia de fornecimento
Ataque que compromete um fornecedor de software, hardware ou serviços de confiança para alcançar os seus clientes a jusante.
- malware№ 1243
Wiper
Malware destrutivo cujo objetivo principal é apagar ou corromper de forma irreversível dados, firmware ou registos de arranque, sem visar lucro.
- attacks№ 1183
Pacote typosquatted
Pacote open source malicioso publicado com um nome muito semelhante ao de uma biblioteca popular para que os programadores o instalem por engano.