'n Kwaadwillige verandering is geïdentifiseer in die node-ipc NPM-pakket (CVE-2022-23812) wat 'n 25%-kans het om die inhoud van alle lêers wat skryftoegang het met 'n "❤️"-karakter te vervang. Die kwaadwillige kode word slegs geaktiveer wanneer dit op stelsels met IP-adresse van Rusland of Wit-Rusland bekendgestel word. Die node-ipc-pakket het ongeveer 'n miljoen aflaaie per week en word gebruik as 'n afhanklikheid vir 354 pakkette, insluitend vue-cli. Alle projekte wat node-ipc as afhanklikhede het, word ook geraak.
Die kwaadwillige kode is na die NPM-bewaarplek geplaas as deel van die node-ipc 10.1.1 en 10.1.2 vrystellings. 'n Kwaadwillige verandering is 11 dae gelede na die projek se Git-bewaarplek geplaas. Die land is in die kode bepaal deur die api.ipgeolocation.io-diens te skakel. Die sleutel wat deur die ipgeolocation.io API vanaf 'n kwaadwillige insetsel verkry is, is nou herroep.
In die opmerkings oor die waarskuwing oor die voorkoms van twyfelagtige kode, het die skrywer van die projek gesê dat die verandering daarop neerkom om 'n lêer by die lessenaar te voeg wat 'n boodskap vertoon wat om vrede vra. Trouens, die kode het 'n rekursiewe opsomming van gidse uitgevoer met 'n poging om al die lêers wat teëgekom is, te oorskryf.
Later is die node-ipc 11.0.0- en 11.1.0-vrystellings in die NPM-bewaarplek geplaas, wat in plaas van die ingeboude kwaadwillige kode, die "peacenotwar" eksterne afhanklikheid bygevoeg het, beheer deur dieselfde outeur en aangebied vir insluiting per pakket onderhouers wat by die betoging wil aansluit. Daar word gestel dat die vredesnieoorlog-pakket slegs 'n boodskap oor die wêreld vertoon, maar met inagneming van die aksies wat reeds deur die skrywer geneem is, is die verdere inhoud van die pakket onvoorspelbaar en word die afwesigheid van vernietigende veranderinge nie gewaarborg nie.
Terselfdertyd is 'n opdatering vrygestel na die node-ipc 9.2.2 stabiele tak, wat deur die Vue.js-projek gebruik word. In die nuwe vrystelling, bykomend tot peacenotwar, is die kleurepakket ook by die aantal afhanklikhede gevoeg, waarvan die skrywer in Januarie vernietigende veranderinge in die kode geïntegreer het. Die bronlisensie in die nuwe weergawe is van MIT na DBAD verander.
Aangesien die skrywer se volgende stappe onvoorspelbaar is, word node-ipc-gebruikers aangeraai om die afhanklikhede op weergawe 9.2.1 reg te stel. Sluitweergawes word ook aanbeveel vir ander ontwikkelings deur dieselfde skrywer wat 41 pakkette onderhou het. Sommige van die pakkette wat deur dieselfde skrywer onderhou word (js-queue, easy-stack, js-message, event-pubsub) het ongeveer 'n miljoen aflaaie per week.
Addendum: Ander pogings om aksies by verskeie oop pakkette te voeg wat nie verband hou met die direkte funksionaliteit van toepassings nie en gekoppel is aan IP-adresse of stelsel-lokaal, word ook aangeteken. Die mees onskadelike van hierdie veranderinge (es5-ext, rete, PHP-komponis, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) kom daarop neer dat die oorlog vir gebruikers in Rusland en Wit-Rusland beëindig word. Terselfdertyd word gevaarliker manifestasies ook aan die lig gebring, byvoorbeeld, 'n enkripteerder is by die AWS Terraform-modulespakkette gevoeg en politieke beperkings is in die lisensie ingestel. Die Tasmota-firmware vir ESP8266- en ESP32-toestelle het 'n ingeboude oortjie wat die werking van toestelle kan blokkeer. Daar word aanvaar dat sulke aktiwiteit vertroue in oopbronsagteware ernstig kan ondermyn.
Bron: opennet.ru