Un cambiamentu maliziusu hè statu rilevatu in u pacchettu node-ipc NPM (CVE-2022-23812), cù una probabilità di 25% chì u cuntenutu di tutti i schedari chì anu accessu à scrittura sò rimpiazzati cù u caratteru "❤️". U codice maliziusu hè attivatu solu quandu hè lanciatu in sistemi cù indirizzi IP da Russia o Bielorussia. U pacchettu node-ipc hà circa un milione di scaricamentu à settimana è hè adupratu cum'è una dependenza di 354 pacchetti, cumpresu vue-cli. Tutti i prughjetti chì anu node-ipc cum'è dipendenze sò ancu affettati da u prublema.
U codice maliziusu hè statu publicatu in u repository NPM cum'è parte di e versioni node-ipc 10.1.1 è 10.1.2. Un cambiamentu maliziusu hè statu publicatu in u repository Git di u prugettu in nome di l'autore di u prugettu 11 ghjorni fà. U paese hè statu determinatu in u codice chjamendu u serviziu api.ipgeolocation.io. A chjave chì hè stata accede à l'API ipgeolocation.io da l'incrustazione maliciosa hè stata revocata.
In i cumenti à l'avvertimentu nantu à l'apparizione di codice dubbitu, l'autore di u prugettu hà dichjaratu chì u cambiamentu hè di aghjunghje un schedariu à u desktop chì mostra un missaghju chì chjamava a pace. In fattu, u codice hà realizatu una ricerca recursiva di cartulari cù un tentativu di sovrascrive tutti i schedari scontri.
E versioni di node-ipc 11.0.0 è 11.1.0 sò stati dopu publicati in u repository NPM, chì rimpiazzava u codice maliziusu integratu cù una dependenza esterna, "peacenotwar", cuntrullata da u stessu autore è offerta per l'inclusione da i mantene di pacchetti chì vulianu. per unisce à a prutesta. Hè dichjaratu chì u pacchju pacificu solu mostra un missaghju nantu à a pace, ma tenendu in contu l'azzioni digià fattu da l'autore, i più cuntenuti di u pacchettu sò imprevisible è l'absenza di cambiamenti distruttivi ùn hè micca garantitu.
À u listessu tempu, hè stata liberata una aghjurnazione à u ramu stabile node-ipc 9.2.2, chì hè utilizatu da u prughjettu Vue.js. In a nova liberazione, in più di pacenowar, u pacchettu di culori hè statu ancu aghjuntu à a lista di dependenzii, l'autore di quale hà integratu cambiamenti distruttivi in u codice in ghjennaghju. A licenza fonte per a nova versione hè stata cambiata da MIT à DBAD.
Siccomu l'ulteriori azzioni di l'autore sò imprevisible, l'utilizatori di node-ipc sò cunsigliati per riparà e dipendenze nantu à a versione 9.2.1. Hè cunsigliatu ancu di riparà e versioni per altri sviluppi da u stessu autore chì hà mantinutu 41 pacchetti. Certi di i pacchetti mantinuti da u stessu autore (js-queue, easy-stack, js-message, event-pubsub) anu circa un milione di scaricamentu à settimana.
Addition: Altri tentativi sò stati registrati per aghjunghje l'azzioni à diversi pacchetti aperti chì ùn sò micca ligati à a funziunalità diretta di l'applicazioni è sò ligati à l'indirizzi IP o à u locale di u sistema. U più innocu di sti cambiamenti (es5-ext, rete, cumpusitore PHP, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) si sferisce à vede chiama à finisce a guerra per utilizatori da Russia è Bielorussia. À u listessu tempu, i manifestazioni più periculosi sò ancu identificati, per esempiu, un encryptor hè statu aghjuntu à i pacchetti di moduli AWS Terraform è e restrizioni politiche sò state introdutte in a licenza. U firmware Tasmota per i dispositi ESP8266 è ESP32 hà un marcatu integratu chì pò bluccà u funziunamentu di i dispositi. Hè cresce chì una tale attività puderia minà seriamente a fiducia in u software open source.
Source: opennet.ru