S'ha identificat un canvi maliciós al paquet node-ipc NPM (CVE-2022-23812) que té un 25% de possibilitats de substituir el contingut de tots els fitxers que tenen accés d'escriptura amb un caràcter "❤️". El codi maliciós només s'activa quan s'inicia en sistemes amb adreces IP de Rússia o Bielorússia. El paquet node-ipc té aproximadament un milió de descàrregues per setmana i s'utilitza com a dependència per a 354 paquets, inclòs vue-cli. Tots els projectes que tenen node-ipc com a dependències també es veuen afectats.
El codi maliciós es va publicar al repositori NPM com a part de les versions 10.1.1 i 10.1.2 de node-ipc. Fa 11 dies es va publicar un canvi maliciós al repositori Git del projecte en nom de l'autor del projecte. El país es va determinar al codi trucant al servei api.ipgeolocation.io. Ara s'ha revocat la clau a què accedeix l'API ipgeolocation.io des d'una inserció maliciosa.
En els comentaris a l'avís sobre l'aparició de codi qüestionable, l'autor del projecte va afirmar que el canvi es redueix a afegir un fitxer a l'escriptori que mostra un missatge demanant pau. De fet, el codi va realitzar una enumeració recursiva de directoris amb un intent de sobreescriure tots els fitxers trobats.
Més tard, les versions node-ipc 11.0.0 i 11.1.0 es van col·locar al repositori NPM, que en lloc del codi maliciós integrat, va afegir la dependència externa "peacenowar", controlada pel mateix autor i que s'ofereix per a la seva inclusió per paquet. mantenedors que vulguin unir-se a la protesta. S'afirma que el paquet peacenowarr només mostra un missatge sobre el món, però tenint en compte les accions que ja ha fet l'autor, el contingut addicional del paquet és impredictible i no es garanteix l'absència de canvis destructius.
Paral·lelament, es va publicar una actualització a la branca estable node-ipc 9.2.2, que utilitza el projecte Vue.js. A la nova versió, a més de la guerra pacífica, el paquet colors també es va afegir a la llista de dependències, l'autor de la qual va integrar canvis destructius al codi al gener. La llicència d'origen de la nova versió s'ha canviat de MIT a DBAD.
Com que els propers passos de l'autor són impredictibles, es recomana als usuaris de node-ipc que solucionin les dependències a la versió 9.2.1. També es recomana bloquejar les versions per a altres desenvolupaments del mateix autor que va mantenir 41 paquets. Alguns dels paquets que manté el mateix autor (js-queue, easy-stack, js-message, event-pubsub) tenen al voltant d'un milió de descàrregues per setmana.
Addendum: també es registren altres intents d'afegir accions a diversos paquets oberts que no estan relacionats amb la funcionalitat directa de les aplicacions i estan vinculats a adreces IP o a la configuració regional del sistema. El més innòcu d'aquests canvis (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) es redueixen a posar fi a la guerra dels usuaris a Rússia i Bielorússia. Al mateix temps, també es revelen manifestacions més perilloses, per exemple, s'ha afegit un encriptador als paquets de mòduls AWS Terraform i s'han introduït restriccions polítiques a la llicència. El firmware Tasmota per a dispositius ESP8266 i ESP32 té una pestanya integrada que pot bloquejar el funcionament dels dispositius. Se suposa que aquesta activitat pot minar seriosament la confiança en el programari de codi obert.
Font: opennet.ru