Злонамерена промяна, направена в пакета NPM node-ipc, която изтрива файлове на системи в Русия и Беларус

Беше идентифицирана злонамерена промяна в пакета node-ipc NPM (CVE-2022-23812), която има 25% шанс да замени съдържанието на всички файлове, които имат достъп за запис, със знак „❤️“. Зловреден код се активира само при стартиране на системи с IP адреси от Русия или Беларус. Пакетът node-ipc има около милион изтегляния на седмица и се използва като зависимост за 354 пакета, включително vue-cli. Всички проекти, които имат node-ipc като зависимости, също са засегнати.

Зловреден код беше публикуван в хранилището на NPM като част от версиите node-ipc 10.1.1 и 10.1.2. Злонамерена промяна беше публикувана в Git хранилището на проекта от името на автора на проекта преди 11 дни. Страната беше определена в кода чрез извикване на услугата api.ipgeolocation.io. Ключът, достъпен от API на ipgeolocation.io от злонамерено вмъкване, вече е отменен.

В коментарите към предупреждението за появата на съмнителен код авторът на проекта заяви, че промяната се свежда до добавяне на файл към работния плот, който показва съобщение, призоваващо за мир. Всъщност кодът извърши рекурсивно изброяване на директории с опит да презапише всички срещнати файлове.

По-късно изданията node-ipc 11.0.0 и 11.1.0 бяха поставени в хранилището на NPM, което вместо вградения зловреден код добави външната зависимост "peacenotwar", контролирана от същия автор и предлагана за включване чрез пакет поддържащи, които желаят да се включат в протеста. Посочено е, че пакетът peacenotwar показва само съобщение за света, но като се вземат предвид действията, които вече са предприети от автора, по-нататъшното съдържание на пакета е непредсказуемо и липсата на разрушителни промени не е гарантирана.

Успоредно с това беше пусната актуализация на стабилния клон node-ipc 9.2.2, който се използва от проекта Vue.js. В новото издание, в допълнение към peacenotwar, към броя на зависимостите беше добавен и пакетът цветове, чийто автор интегрира разрушителни промени в кода през януари. Лицензът за източник в новата версия е променен от MIT на DBAD.

Тъй като следващите стъпки на автора са непредвидими, потребителите на node-ipc се съветват да коригират зависимостите от версия 9.2.1. Заключващите версии се препоръчват и за други разработки от същия автор, който поддържа 41 пакета. Някои от пакетите, поддържани от същия автор (js-queue, easy-stack, js-message, event-pubsub) имат около милион изтегляния на седмица.

Допълнение: Записват се и други опити за добавяне на действия към различни отворени пакети, които не са свързани с пряката функционалност на приложенията и са обвързани с IP адреси или локал на системата. Най-безобидните от тези промени (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) се свеждат до прекратяване на войната за потребителите в Русия и Беларус. В същото време се разкриват и по-опасни прояви, например към пакетите с модули AWS Terraform е добавен шифратор и в лиценза са въведени политически ограничения. Фърмуерът Tasmota за устройства ESP8266 и ESP32 има вграден раздел, който може да блокира работата на устройствата. Предполага се, че подобна дейност може сериозно да подкопае доверието в софтуера с отворен код.

Източник: opennet.ru