V balíčku node-ipc NPM (CVE-2022-23812) byla identifikována škodlivá změna, která má 25% šanci, že nahradí obsah všech souborů, které mají přístup pro zápis, znakem „❤️“. Škodlivý kód se aktivuje pouze při spuštění na systémech s IP adresami z Ruska nebo Běloruska. Balíček node-ipc má asi milion stažení za týden a používá se jako závislost pro 354 balíčků, včetně vue-cli. Všechny projekty, které mají node-ipc jako závislosti, jsou také ovlivněny.
Škodlivý kód byl odeslán do úložiště NPM jako součást vydání node-ipc 10.1.1 a 10.1.2. Před 11 dny byla jménem autora projektu odeslána škodlivá změna do úložiště Git projektu. Země byla určena v kódu voláním služby api.ipgeolocation.io. Klíč, ke kterému přistupovalo rozhraní ipgeolocation.io API ze škodlivého insertu, byl nyní odvolán.
V komentářích k upozornění na výskyt pochybného kódu autor projektu uvedl, že změna se scvrkává na přidání souboru na plochu, který zobrazuje zprávu vyzývající k míru. Ve skutečnosti kód provedl rekurzivní výčet adresářů s pokusem o přepsání všech nalezených souborů.
Později byla do úložiště NPM umístěna vydání node-ipc 11.0.0 a 11.1.0, která namísto vestavěného škodlivého kódu přidala externí závislost „peacenotwar“, kontrolovanou stejným autorem a nabízenou k zahrnutí do balíčku. udržovatelů, kteří se chtějí k protestu připojit. Uvádí se, že balíček peacenotwar zobrazuje pouze zprávu o světě, ale s přihlédnutím k již provedeným akcím autora je další obsah balíčku nepředvídatelný a absence destruktivních změn není zaručena.
Paralelně byla vydána aktualizace stabilní větve node-ipc 9.2.2, kterou využívá projekt Vue.js. V novém vydání se kromě peacenotwaru k počtu závislostí přidal i balíček barev, jehož autor v lednu integroval do kódu destruktivní změny. Licence zdroje v nové verzi byla změněna z MIT na DBAD.
Protože jsou další kroky autora nepředvídatelné, uživatelům node-ipc se doporučuje opravit závislosti na verzi 9.2.1. Zamykání verzí je také doporučeno pro další vývoj od stejného autora, který udržoval 41 balíčků. Některé z balíčků spravovaných stejným autorem (js-queue, easy-stack, js-message, event-pubsub) mají asi milion stažení za týden.
Dodatek: Evidovány jsou i další pokusy o přidání akcí do různých otevřených balíčků, které nesouvisejí s přímou funkčností aplikací a jsou vázány na IP adresy nebo národní prostředí systému. Nejnebezpečnější z těchto změn (es5-ext, rete, skladatel PHP, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) se scvrkají k ukončení války pro uživatele v Rusku a Bělorusku. Zároveň se odhalují i nebezpečnější projevy, například do balíčků modulů AWS Terraform byl přidán šifrovač a do licence byla zavedena politická omezení. Firmware Tasmota pro zařízení ESP8266 a ESP32 má vestavěnou kartu, která může blokovat činnost zařízení. Předpokládá se, že taková činnost může vážně podkopat důvěru v open source software.
Zdroj: opennet.ru