Usa ka malisyoso nga pagbag-o ang nakit-an sa node-ipc NPM nga pakete (CVE-2022-23812), nga adunay 25% nga posibilidad nga ang sulud sa tanan nga mga file nga adunay access sa pagsulat gipulihan sa karakter nga "❤️". Ang malisyoso nga code gi-activate lamang kung gilunsad sa mga sistema nga adunay mga IP address gikan sa Russia o Belarus. Ang node-ipc nga pakete adunay mga usa ka milyon nga mga pag-download matag semana ug gigamit ingon usa ka pagsalig sa 354 nga mga pakete, lakip ang vue-cli. Ang tanan nga mga proyekto nga adunay node-ipc ingon mga dependency apektado usab sa problema.
Ang malisyoso nga code gibutang sa NPM repository isip kabahin sa node-ipc 10.1.1 ug 10.1.2 releases. Usa ka malisyoso nga pagbag-o ang gi-post sa Git repository sa proyekto alang sa tagsulat sa proyekto 11 ka adlaw ang milabay. Ang nasud gitino sa code pinaagi sa pagtawag sa serbisyo sa api.ipgeolocation.io. Ang yawe nga na-access sa ipgeolocation.io API gikan sa malisyosong embed gibawi na karon.
Sa mga komento sa pasidaan bahin sa dagway sa kaduhaduhaan nga code, ang tagsulat sa proyekto nag-ingon nga ang pagbag-o katumbas sa pagdugang usa ka file sa desktop nga nagpakita usa ka mensahe nga nanawagan alang sa kalinaw. Sa tinuud, ang code nagpahigayon usa ka recursive nga pagpangita sa mga direktoryo nga adunay pagsulay nga i-overwrite ang tanan nga mga file nga nasugatan.
Ang mga pagpagawas sa node-ipc 11.0.0 ug 11.1.0 sa ulahi gi-post sa NPM repository, nga gipulihan ang built-in nga malisyoso nga code nga adunay usa ka eksternal nga pagsalig, "peacenotwar," nga kontrolado sa parehas nga awtor ug gitanyag alang sa paglakip sa mga tigmintinar sa pakete nga nanghinaut. nga moapil sa protesta. Gipahayag nga ang package sa peacenotwar nagpakita lamang og mensahe mahitungod sa kalinaw, apan gikonsiderar ang mga aksyon nga nahimo na sa tagsulat, ang dugang nga mga sulod sa package dili matag-an ug ang pagkawala sa makadaut nga mga pagbag-o dili garantiya.
Sa samang higayon, usa ka update sa stable node-ipc 9.2.2 branch, nga gigamit sa Vue.js project, gipagawas. Sa bag-ong pagpagawas, dugang pa sa peacenotwar, ang mga kolor nga pakete gidugang usab sa lista sa mga dependency, ang tagsulat diin gisagol ang makadaot nga mga pagbag-o sa code kaniadtong Enero. Ang tinubdan nga lisensya alang sa bag-ong pagpagawas giusab gikan sa MIT ngadto sa DBAD.
Tungod kay ang dugang nga mga aksyon sa tagsulat dili matag-an, ang mga tiggamit sa node-ipc girekomenda nga ayohon ang mga dependency sa bersyon 9.2.1. Girekomenda usab nga ayohon ang mga bersyon alang sa ubang mga kalamboan sa parehas nga tagsulat nga nagmintinar sa 41 nga mga pakete. Ang pila sa mga pakete nga gipadayon sa parehas nga tagsulat (js-queue, easy-stack, js-message, event-pubsub) adunay mga usa ka milyon nga pag-download matag semana.
Dugang: Ang ubang mga pagsulay natala aron sa pagdugang sa mga aksyon sa nagkalain-laing bukas nga mga pakete nga wala'y kalabutan sa direktang pagpaandar sa mga aplikasyon ug nahigot sa mga IP address o sistema sa lokal. Ang labing dili makadaot niini nga mga pagbag-o (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) nagpabukal sa pagpakita sa mga tawag aron tapuson ang gubat alang sa mga tiggamit gikan sa Russia ug Belarus. Sa samang higayon, mas delikado nga mga pagpakita usab giila, pananglitan, usa ka encryptor ang gidugang sa AWS Terraform modules nga mga pakete ug ang mga pagdili sa politika gipaila sa lisensya. Ang Tasmota firmware alang sa ESP8266 ug ESP32 nga mga aparato adunay usa ka built-in nga bookmark nga makapugong sa operasyon sa mga aparato. Gituohan nga ang ingon nga kalihokan mahimong seryoso nga makaguba sa pagsalig sa open source software.
Source: opennet.ru