Detektovana je zlonamjerna promjena u node-ipc NPM paketu (CVE-2022-23812), s vjerovatnoćom od 25% da će sadržaj svih datoteka koje imaju pristup za pisanje biti zamijenjen znakom “❤️”. Zlonamjerni kod se aktivira samo kada se pokrene na sistemima sa IP adresama iz Rusije ili Bjelorusije. Node-ipc paket ima oko milion preuzimanja sedmično i koristi se kao zavisnost od 354 paketa, uključujući vue-cli. Svi projekti koji imaju node-ipc kao zavisnosti su takođe pogođeni problemom.
Zlonamjerni kod je postavljen u NPM spremište kao dio izdanja node-ipc 10.1.1 i 10.1.2. Zlonamjerna promjena je objavljena u Git spremištu projekta u ime autora projekta prije 11 dana. Država je određena u kodu pozivanjem servisa api.ipgeolocation.io. Ključ kojem se pristupilo API-ju ipgeolocation.io iz zlonamjernog ugrađivanja sada je opozvano.
U komentarima na upozorenje o pojavi sumnjivog koda, autor projekta je naveo da se promjena svodi na dodavanje fajla na desktop koji prikazuje poruku koja poziva na mir. U stvari, kod je izvršio rekurzivno pretraživanje direktorija s pokušajem da prepiše sve datoteke na koje se naiđe.
Izdanja node-ipc 11.0.0 i 11.1.0 kasnije su objavljena u NPM spremište, što je zamijenilo ugrađeni zlonamjerni kod vanjskom ovisnošću, “peacenotwar”, koju kontrolira isti autor i ponuđeno je za uključivanje od strane održavatelja paketa koji žele da se pridruži protestu. Navodi se da mirovno-ratni paket samo prikazuje poruku o miru, ali s obzirom na radnje koje je autor već preduzeo, dalji sadržaj paketa je nepredvidiv i izostanak destruktivnih promjena nije zagarantovan.
Istovremeno, objavljeno je ažuriranje stabilne grane node-ipc 9.2.2, koju koristi projekat Vue.js. U novom izdanju, pored mirovnog rata, na listu zavisnosti je dodan i paket boja, čiji je autor u januaru integrisao destruktivne promene u kod. Izvorna licenca za novo izdanje je promijenjena iz MIT u DBAD.
Budući da su dalje radnje autora nepredvidive, korisnicima node-ipc se preporučuje da poprave zavisnosti od verzije 9.2.1. Takođe se preporučuje da se poprave verzije za druge razvojne verzije istog autora koji je održavao 41 paket. Neki od paketa koje održava isti autor (js-queue, easy-stack, js-message, event-pubsub) imaju oko milion preuzimanja sedmično.
Dodatak: Zabilježeni su i drugi pokušaji dodavanja akcija raznim otvorenim paketima koji nisu povezani s direktnom funkcionalnošću aplikacija i vezani su za IP adrese ili lokalizaciju sistema. Najbezopasnije od ovih promjena (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) svode se na prikazivanje poziva za okončanje rata za korisnike iz Rusije i Bjelorusije. Istovremeno, identificirane su i opasnije manifestacije, na primjer, dodat je enkriptor u pakete AWS Terraform modula i uvedena su politička ograničenja u licencu. Tasmota firmver za ESP8266 i ESP32 uređaje ima ugrađeni bookmark koji može blokirati rad uređaja. Vjeruje se da bi takva aktivnost mogla ozbiljno potkopati povjerenje u softver otvorenog koda.
izvor: opennet.ru