تم التعرف على تغيير ضار في حزمة node-ipc NPM (CVE-2022-23812) التي لديها فرصة بنسبة 25٪ لاستبدال محتويات كافة الملفات التي لها حق الوصول للكتابة بحرف "❤️". يتم تنشيط الشفرة الخبيثة فقط عند إطلاقها على أنظمة ذات عناوين IP من روسيا أو بيلاروسيا. تحتوي حزمة node-ipc على حوالي مليون عملية تنزيل أسبوعيًا وتستخدم كبديل لـ 354 حزمة ، بما في ذلك vue-cli. تتأثر أيضًا جميع المشاريع التي تحتوي على node-ipc باعتبارها تبعيات.
تم نشر الشفرة الضارة في مستودع NPM كجزء من إصدارات node-ipc 10.1.1 و 10.1.2. تم نشر تغيير ضار في مستودع Git الخاص بالمشروع نيابة عن مؤلف المشروع قبل 11 يومًا. تم تحديد البلد في الكود عن طريق استدعاء خدمة api.ipgeolocation.io. تم الآن إبطال المفتاح الذي تم الوصول إليه بواسطة ipgeolocation.io API من إدخال ضار.
في التعليقات على التحذير حول ظهور رمز مشكوك فيه ، ذكر مؤلف المشروع أن التغيير يتلخص في إضافة ملف إلى سطح المكتب يعرض رسالة تدعو إلى السلام. في الواقع ، نفذت الشفرة تعدادًا متكررًا للأدلة في محاولة للكتابة فوق جميع الملفات التي تمت مواجهتها.
لاحقًا ، تم وضع إصدارات node-ipc 11.0.0 و 11.1.0 في مستودع NPM ، والذي أضاف التبعية الخارجية لـ "peacenotwar" بدلاً من الشفرة الخبيثة المضمنة ، والتي يتحكم فيها نفس المؤلف وعرضها للتضمين بواسطة الحزمة المشرفين الذين يرغبون في الانضمام إلى الاحتجاج. يُذكر أن حزمة peacenotwar لا تعرض سوى رسالة حول العالم ، ولكن مع الأخذ في الاعتبار الإجراءات التي اتخذها المؤلف بالفعل ، فإن المحتويات الإضافية للحزمة لا يمكن التنبؤ بها ولا يتم ضمان عدم وجود تغييرات مدمرة.
بالتوازي مع ذلك ، تم إصدار تحديث للفرع الثابت node-ipc 9.2.2 ، والذي يستخدمه مشروع Vue.js. في الإصدار الجديد ، بالإضافة إلى peacenotwar ، تمت إضافة حزمة الألوان أيضًا إلى قائمة التبعيات ، والتي قام مؤلفها بدمج التغييرات المدمرة في الكود في يناير. تم تغيير ترخيص المصدر في الإصدار الجديد من MIT إلى DBAD.
نظرًا لأن الخطوات التالية للمؤلف غير متوقعة ، يُنصح مستخدمي node-ipc بإصلاح التبعيات على الإصدار 9.2.1. يوصى أيضًا بتأمين الإصدارات للتطورات الأخرى بواسطة نفس المؤلف الذي احتفظ بـ 41 حزمة. تحتوي بعض الحزم التي يحتفظ بها نفس المؤلف (js-queue و easy-stack و js-message و event-pubsub) على حوالي مليون تنزيل أسبوعيًا.
ملحق: يتم أيضًا تسجيل المحاولات الأخرى لإضافة إجراءات إلى الحزم المفتوحة المتنوعة التي لا تتعلق بالوظيفة المباشرة للتطبيقات والمرتبطة بعناوين IP أو إعدادات النظام المحلية. أكثر هذه التغييرات غير ضارة (es5-ext و rete و PHP composer و PHPUnit و Redis Desktop Manager و Awesome Prometheus Alerts و verdaccio و filestash) تتلخص في إنهاء الحرب للمستخدمين في روسيا وبيلاروسيا. في الوقت نفسه ، تم الكشف أيضًا عن مظاهر أكثر خطورة ، على سبيل المثال ، تمت إضافة مشفر إلى حزم وحدات AWS Terraform وتم إدخال قيود سياسية في الترخيص. تحتوي البرامج الثابتة Tasmota لأجهزة ESP8266 و ESP32 على علامة تبويب مدمجة يمكنها منع تشغيل الأجهزة. من المفترض أن مثل هذا النشاط يمكن أن يقوض بشكل خطير الثقة في البرمجيات مفتوحة المصدر.
المصدر: opennet.ru