ABCDEFGHIJKLMNOPQRSTUVWXYZAAABACADAEAF
1
https://t.me/ctorecordschat | https://vk.com/ctorecords | https://fb.com/ctorecords/
ОПАСНО
СПИСОК МАЛВАРИ, ШИФРОВАЛЬЩИКОВ и прочих военных действий в софте и сервисах
Коллеги! В связи с появившимися случаями встраивания политических лозунгов, а теперь и малвари и шифровальщиков в проекты, которые теперь несут реальные риски, начинаем вести список опасных для использования продуктов.

Дополнить список можно через форму
https://forms.gle/3fPraenYPQ7skrPCA
2
Отметка времениТип проблемыНазвание продуктаСсылка на commit в репозиторийКомментарий
3
03.09.2023 18:41:43ОпасноMyHomeLib
https://pikabu.ru/story/o_kriptomaynerakh_v_programmakh_dlya_rabotyi_s_arkhivami_knig_10614906
Встроенный в программу для работы с архивами криптомайнер, отправляющий деньги ВСУ
4
31.05.2023 19:17:50Опасно
https://github.com/onikienko/TabHamster
https://github.com/onikienko/TabHamster/commit/d406d1c3a95c44c28374e7aef7824095a63a6648
Разработчик расширения управления закладками для браузера Chrome и Opera. Расширение позволяет сохранять и восстанавливать закладки, а также импортировать и экспортировать их через текстовой файл.
На странице угрозы от нахрюка в адрес РФ. Хочет удалить русскую локаль: https://github.com/onikienko/TabHamster/issues/53 (их борьба).
Сообщил в abuse на владельца (hate speech), Github ничего не сделал, угрозы по прежнему в readme репозитория.
5
06.03.2023 17:24:21ОпасноPhpSpeadsheet
https://github.com/MarkBaker/PHPComplex/commit/d130142eba9d5c6d7e8f3fb4a9571133f206cf69
Зависимость от markbaker/complex с зависимостью от markbaker/ukraine. Package description: "A PHP Composer Plug-in to show support for Ukraine"
6
02.02.2023 0:12:29СаботажYoutubeExplode
https://github.com/Tyrrrz/YoutubeExplode/commit/d1489ee3caee12b15b120d10cd1c60aef5b17ee9
Блокировка сборки (вывод ошибки) при обнаруженных белорусской или российской локалей.
7
01.02.2023 8:15:58СаботажTyrrrz/DiscordChatExporterhttps://github.com/Tyrrrz/DiscordChatExporterС начала конфликта и до версии 2.36.4 при запуске показывалась плашка с пропагандой помощи Украине. С версии 2.37 программа отказывается запускаться, если в системе не прописана переменная среды с оскорблением русского народа. Скриншот: https://imgbox.com/exCP7iOc
8
21.01.2023 9:53:51Опасно
s3.translator, s3.screengrab и др. расширения для браузера
https://www.s3blog.org/Разработчик из Киева, ранее встраивал нахрюк-систему в свое изделие s3.weather (заблокировано в магазине Firefox). Что сейчас находится в скриптах - одному Олэксандру известно21.01.2023 9:53:51Опасно
аддоны на браузер s3.translator, s3.screengrab и др. от разработчика
https://www.s3blog.org/
Разработчик из Киева, ранее встраивал нахрюк-систему до СВО в свое изделие s3.weather, оно было попячено из списка аддонов для Огнелиса. Что сейчас находится в скриптах - одному Олэксандру известно
9
23.11.2022 22:32:55ПропагандаSweetAlert2
https://github.com/sweetalert2/sweetalert2/commit/7de8f7af35f4b0067edc4a735c5b9550537925c4
Повторный случай для этой JS-библиотеки. На этот раз автор посчитал остоумным при посещении сайта в RU-зоне из браузера с RU-локалью включать украинский гимн.
10
06.09.2022 10:29:44МалварьDownload Masterhttps://westbyte.com/dmНе так давно убрали блокировку доступа к сайту по IP из РФ. Но! Есть подозрение, что утилита DownloadMaster сама скачивает пропагандистские видео на локальный диск. Скрин: https://mega.nz/file/ELoClKga#CphR8585sxhPQ0utwdNydiwQ_VPYQspbUGeQ35loC2s
11
23.08.2022 10:00:55Ограничение функционалаhybridauth
https://github.com/hybridauth/hybridauth/releases/tag/v3.8.2
Удалили авторизацию через российских провайдеров: ВК, ОК, Яндекс, Mail.ru. Лозунги.
12
05.07.2022 18:42:47Малварьsweetalert2
https://github.com/sweetalert2/sweetalert2/commit/1ad0dd97ee11bd472c381e4063a9ec8fa0d40be1
JS-библиотека для popup alerts. Вставили в код закладку, чтобы отображать призывы и видео. Срабатывает только если у пользователя в браузере выбран русский язык, а сайт, на котором выполняется код, находится в зоне ru/su. Таким образом подводят владельцев сайтов в зоне ru/su под статью о распростанении фейков. Обсуждение: https://github.com/sweetalert2/sweetalert2/pull/2462
Форк репозитория без политики - https://github.com/lofcz/sweetalert2-neutral
13
25.05.2022 11:30:00Малварьctx (python package)https://pypistats.org/packages/ctxВредоносные версии 0.2.2, 0.2.6, 0.1.2. Ворует содержимое переменных окружения AWS_ACCESS_KEY и AWS_SECRET_KEY. Подробности https://www.opennet.ru/opennews/art.shtml?num=57242
14
25.05.2022 11:30:00Малварьphppass (PHP)https://github.com/hautelook/phpassВерсии пакета с 19.05.2022 по 24.05.2022. Ворует содержимое переменных окружения AWS_ACCESS_KEY и AWS_SECRET_KEY. Подробности https://www.opennet.ru/opennews/art.shtml?num=57242
15
24.05.2022 8:25:17Политические лозунгиWinbox (Snap пакет panaceya)https://github.com/panaceya/winboxВнутри пакета скрипт, которые при запуске выплевывает окошко с украинской пропагандой, к winbox отношение не имеет, просто данный субъект упаковал в snap пакет winbox+wine, приложения даже не его, но агрессивная пропаганда внутри пакета присутствует, как и на его странице в git, сам пакет в Snap не убирают и не корректируют даже с учетом большого количества негативных отзывов (в т.ч. с нарушением работы сети), будьте внимательны.
16
16.05.2022 20:12:21Отказ в обслуживанииRedminer for Androidhttps://play.google.com/store/apps/details?id=com.ideil.redmine&hl=ru&gl=USПриложением для доступа в систему управления проектами Redmine. Сейчас приложение стало работать в режиме readonly . Автор из Луцка, на его сайте наблюдаются флаги украины в большом количестве. Российские пользователи находятся в группе риска, т.к. у приложения есть ключ для доступа к вашему проекту в Redmine. Рекомендуется удалить приложение и сбросить ключ.
17
12.05.2022 8:13:48Удаление данныхWasabi Cloud Storagehttps://wasabi.com/Прислали email - дали 48 часов на скачивание данных, после чего аккаунты, связанные с РФ удаляют. Риск потерять все свои бекапы, хранящиеся там.
18
05.05.2022 21:42:18Отказ в обслуживанииTeamViewerhttps://www.teamviewer.com/en/company/press/Сегодня днем ничего не подозревающие сисадмины и айтишники не смогли воспользоваться TeamViewer. Программа самопроизвольно закрывается и не позволяет подключиться повторно.
"Мы решили полностью прекратить любую оставшуюся деловую активность в России и Беларуси", - говорится в сообщении на официальном сайте немецкой компании. Бесплатные версии заблокированы. Действующие подписки будут действительны до окончания их срока действия, но не будут продлеваться.
19
03.05.2022 18:49:25ОпасноSmartFixhttps://smartfix.pro/Еще софт от Simplix - украинского автора "Набор обновлений UpdatePack7R2". SmartFix - это утилита для решения проблем Windows, которая внедрена во многие популярные WinPE для восстановления системы. Эта утилита проверяет целостность системных файлов, запрашивает контрольные суммы со своего сервера, скачивает антивирусы, собственное средство WinRepair, восстанавливает битые системные библиотеки и делает многое другое.
Есть вероятность деструктивных действий для российских пользователей по команде с сервера.
Другие продукты автора - SmartMon и LightBackup.
20
29.04.2022 20:23:14Отказ в обслуживанииНабор обновлений UpdatePack7R2 для Windowsblog.simplix.info/updatepack7r2/при запуске пишет "установка не возможна, ваша страна поддерживает агрессию против Украины".
Теперь отключение интернета не помогает, программа требует интернет, чтобы проверить страну. Пока помогает VPN.
В майском пакете обновлений анонсируется проверка на наличие VPN и при его наличии отказ от установки. Установка обновлений с помощью данного пакета, может не закрыть уязвимости, а добавить вам новых, если вы из РФ/РБ.
21
28.04.2022 10:58:43ПодменаImageshack
http://img402.imageshack.us/img402/5934/screenshothexen20120730.png
При доступе с российских IP подменяет изображения на пропаганду.
Если вы вставляли картинки с этого фотохостинга в свои посты, вместо них теперь выводится другая картинка, какая именно, будет зависеть от фантазии ImageShack. А вас могут обвинить в чем-то противозаконном.
Подробнее: https://pikabu.ru/story/fotokhosting_imageshack_podmenyaet_svoi_kartinki_dlya_rossii_8884618
22
25.04.2022 14:34:39ДискриминацияCleanMyMac X
https://apps.apple.com/us/app/cleanmymac-x/id1339170533?mt=12
Политические лозунги, логотип, сбор денег.
Version 4.10.4
A new category in the Uninstaller module — Suspicious — where CleanMyMac puts apps associated with or owned by Russian or Belarusian developers.
Авторы CleanMyMac решили дескридитировать сторонний софт, который они посчитают пророссийским
23
22.04.2022 2:29:12Блокировка аккаунта по IPCircleCIhttps://app.circleci.com/Если зайти под русским IP после логина (например, через GitHub) перекидывает на https://support.circleci.com/hc/en-us/articles/360043679453-CircleCI-Terms-of-Service-Violation-Sanctioned-Country и
банит аккаунт. После бана VPN не поможет, только заполнение из формы.
Update: Регистрация/вход из РФ не работает.
24
14.04.2022 13:42:05МалварьПоиск в Яндекс из контекстного меню (Chrome extension)https://github.com/burgua/yandex_search_in_chrome/blob/master/code.js#L3Кроме поиска в Яндекс, открывает политическое видео в соседней вкладке.
25
28.03.2022 17:28:46
удаление русского языка, лозунги
RedisDesktopManager или RESP.apphttps://github.com/uglide/RedisDesktopManager/commit/8b2b357d9d233100f84a69f81ed22b8caa04fa22как бы чего еще туда не заложили вредного https://github.com/uglide/RedisDesktopManager/issues/5215
26
28.03.2022 17:05:23Удаление данныхOracleoracle.comОтключили ВМ, не дает зайти в аккаунт. Заявление о поддержке Украины https://www.oracle.com/corporate/conflict-in-ukraine/russia/
27
28.03.2022 15:50:03Заблокирован доступnamecheap.com, nc.me, web-hosting.comИзначально обещали удалить все домены, зарегистрированные россиянами, а также приостановить хостинг и почту для доменов в белорусских и российских зонах. Позже сделали исключение для оппозиционных СМИ, но пообещали:
* блокировать платежи с российских карт и с российскими почтовыми адресами
* в саппорте не отвечать на тикеты от пользователей с российскими почтовыми адресами
* забанить хостинг и почту для доменов *.ru*, *.xn--p1ai (рф)*, *.by*, *.xn--90ais (бел)*, *.su*
* в саппорте не отвечать на тикеты от пользователей, которые заходили с российских IP.

Кроме того, основатель компании Richard Kirkendall в Twitter успеть опубликовать пару антироссийских лозунгов, а саппорт компании противоречит самому себе в твиттере и по электронной почте. Стоит отметить, что хотя полностью домены не удалили, это решение привело к финансовым потерям простых клиентов, так как всем нам придётся менять хостинг и регистратора, ведь даже при желании пользоваться Namecheap в дальнейшем не удастся оплачивать услуги.
28
18.03.2022 10:46:13Малварьhttps://github.com/Yaffle/EventSourcehttps://github.com/Yaffle/EventSource/commit/de137927e13d8afac153d2485152ccec48948a7ahttps://github.com/Yaffle/EventSource/issues/199
29
17.03.2022 14:00:30Сломанная сборкаhttps://packagist.org/packages/fomvasss/laravel-dadatahttps://github.com/fomvasss/laravel-dadataУдален с github
30
17.03.2022 13:33:21МалварьWordPress плагин Mistapehttps://wordpress.org/plugins/mistape/Через уязвимость в популярном плагине Mistape злоумышленник получает доступ к разделам администратора, заливает плагин UnderConstruction, с помощью которого на главную страницу сайта выводит произвольную информацию. Обычно это виджет на тему текущих событий в Украине. Автор плагина 24 февраля внёс в него изменения. Дождался, пока обновление разойдётся по пользователям и начал через несколько дней эксплуатировать занесённую туда уязвимость.
31
17.03.2022 13:29:04МалварьГлянецhttps://drupal.ru/glyanec-scamКомпания «Глянец» встраивает на сайты клиентов вредоносный код для обхода защиты и получения полного доступа к сайтам. Они называют это «сервисным входом».
26 февраля руководитель «Глянец» Заика Анатолий в публичном телеграм-чате заявил, что российские сайты, созданные в его компании, будут «взломаны».
32
17.03.2022 12:56:07Сломанная сборкаyandex-php-libraryhttps://github.com/nixsolutions/yandex-php-library/blob/master/README.mdЗаметил проблему с библиотекой дней 10 назад, владелец из Харькова,
33
17.03.2022 12:56:07Сломанная сборкаUn-Official Yandex-XML PHP libraryhttps://packagist.org/packages/anton-shevchuk/yandex-xml-libraryВ packagist добавлена версия пакета с политическим лозунгом, а исходники удалены из гитхаба. Результат - сломанная сборка проекта
34
17.03.2022 8:16:39Малварьnode-ipchttps://github.com/RIAEvangelist/node-ipc/issues/233

https://github.com/RIAEvangelist/node-ipc/blob/847047cf7f81ab08352038b2204f0e7633449580/dao/ssl-geospec.js

https://github.com/RIAEvangelist/node-ipc/commit/1220522453a0388cb4af1a74fe9a0482b6b3a9f3
https://github.com/RIAEvangelist/node-ipc/issues/233
В библиотеку node-ipc добавили шифровальщик для ip России и Белоруссии

Оно реально всю фс закидывает сердечками, если ты из России и Беларуси. Причем вручную поставили 25% вероятности в начале таймаута, чтобы эта штука была больше похоже на плавающий баг, чем на что-то намеренное.
Оригинальный ресерч автора самого первого issue, который расследовал действие кода. Сейчас его issue потёр автор node-ipc, поэтому исследователь переехал в gist: https://gist.github.com/MidSpike/f7ae3457420af78a54b38a31cc0c809c
По ссылке есть таймлайн события, расследования и меры минимизации ущерба.
Появились сообщения о том, что уязвимость откатили
https://github.com/arendst/Tasmota/commit/ba32044bb25b820a104428585bf4c91c4e927f88 , https://github.com/arendst/Tasmota/commit/b4f99bb74704e4a5f85b7ba9e03b126bf1c43320
35
17.03.2022 2:02:17Малварьhttps://github.com/RIAEvangelist/peacenotwarhttps://github.com/RIAEvangelist/peacenotwarСама библиотека удаляющая файловую систему по IP из России и Белоруссии
36
16.03.2022 18:10:01Малварьes5-exthttps://github.com/medikoo/es5-ext/commit/28de285ed433b45113f01e4ce7c74e9a356b2af2популярная библиотека https://www.npmjs.com/package/es5-ext которая не обновлялась до этого 2 года начала получать регулярные обновления которые содержат как негативную пропаганду, так и код по таймзоне увеличивающий утилизацию ресурсов
Смотреть файл - _postinstall.js
37