Node-ipc NPM paketində (CVE-2022-23812) zərərli dəyişiklik müəyyən edilib ki, onun yazma imkanı olan bütün faylların məzmununu "❤️" simvolu ilə əvəz etmək şansı 25% təşkil edir. Zərərli kod yalnız Rusiya və ya Belarusdan olan IP ünvanları olan sistemlərdə işə salındıqda aktivləşdirilir. Node-ipc paketinin həftədə bir milyona yaxın endirilməsi var və vue-cli də daxil olmaqla 354 paket üçün asılılıq kimi istifadə olunur. Asılılıq kimi node-ipc olan bütün layihələr də təsirlənir.
Zərərli kod NPM repozitoriyasına node-ipc 10.1.1 və 10.1.2 buraxılışlarının bir hissəsi kimi yerləşdirilib. 11 gün əvvəl layihə müəllifinin adından layihənin Git repozitoriyasına zərərli dəyişiklik yerləşdirilib. Ölkə api.ipgeolocation.io xidmətinə zəng etməklə kodda müəyyən edilib. Zərərli daxiletmədən ipgeolocation.io API tərəfindən əldə edilən açar indi ləğv edilib.
Şübhəli kodun görünməsi ilə bağlı xəbərdarlığa şərhlərdə layihə müəllifi bildirib ki, dəyişiklik iş masasına sülhə çağıran mesajı əks etdirən fayl əlavə etməkdən ibarətdir. Əslində, kod rast gəlinən bütün faylların üzərinə yazmaq cəhdi ilə qovluqların rekursiv sadalamasını həyata keçirdi.
Daha sonra, node-ipc 11.0.0 və 11.1.0 buraxılışları NPM repozitoriyasına yerləşdirildi ki, bu da daxili zərərli kodun əvəzinə eyni müəllif tərəfindən idarə olunan və paketə daxil olmaq üçün təklif olunan "peacenotwar" xarici asılılığını əlavə etdi. aksiyaya qoşulmaq istəyən müdafiəçilər. Bildirilir ki, sülhnotwar paketi yalnız dünya haqqında mesaj nümayiş etdirir, lakin müəllif tərəfindən artıq görülən tədbirlər nəzərə alınmaqla, paketin sonrakı məzmunu gözlənilməzdir və dağıdıcı dəyişikliklərin olmamasına zəmanət verilmir.
Paralel olaraq, Vue.js layihəsi tərəfindən istifadə edilən node-ipc 9.2.2 stabil filialına yeniləmə buraxıldı. Yeni buraxılışda, sülhyaratma ilə yanaşı, rənglər paketi də asılılıqlar siyahısına əlavə edildi, müəllif yanvar ayında koda dağıdıcı dəyişiklikləri birləşdirdi. Yeni buraxılışda mənbə lisenziyası MIT-dən DBAD-a dəyişdirilib.
Müəllifin növbəti addımları gözlənilməz olduğundan, node-ipc istifadəçilərinə 9.2.1 versiyasından asılılıqları düzəltmələri tövsiyə olunur. Kilidləmə versiyaları 41 paketi saxlayan eyni müəllif tərəfindən digər inkişaflar üçün də tövsiyə olunur. Eyni müəllif tərəfindən saxlanılan bəzi paketlər (js-queue, easy-stack, js-message, event-pubsub) həftədə bir milyona yaxın yükləməyə malikdir.
Əlavə: Tətbiqlərin birbaşa funksionallığı ilə əlaqəli olmayan və IP ünvanları və ya sistem lokali ilə əlaqəli müxtəlif açıq paketlərə hərəkətlər əlavə etmək üçün digər cəhdlər də qeydə alınır. Bu dəyişikliklərin ən zərərsizləri (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) Rusiya və Belarusiyadakı istifadəçilər üçün müharibəni sona çatdırır. Eyni zamanda, daha təhlükəli təzahürlər də aşkarlanır, məsələn, AWS Terraform modul paketlərinə şifrələyici əlavə edilib və lisenziyaya siyasi məhdudiyyətlər tətbiq edilib. ESP8266 və ESP32 cihazları üçün Tasmota proqram təminatı, cihazların işini bloklaya bilən daxili nişana malikdir. Güman edilir ki, bu cür fəaliyyət açıq mənbə proqram təminatına olan inamı ciddi şəkildə sarsıda bilər.
Mənbə: opennet.ru