Mae newid maleisus wedi'i nodi yn y pecyn NPM nod-ipc (CVE-2022-23812) sydd â siawns o 25% o ddisodli cynnwys yr holl ffeiliau sydd â mynediad ysgrifennu gyda nod "❤️". Mae'r cod maleisus yn cael ei actifadu dim ond pan gaiff ei lansio ar systemau gyda chyfeiriadau IP o Rwsia neu Belarus. Mae gan y pecyn nod-ipc tua miliwn o lawrlwythiadau yr wythnos ac fe'i defnyddir fel dibyniaeth ar gyfer 354 o becynnau, gan gynnwys vue-cli. Effeithir hefyd ar bob prosiect sydd â nod-ipc fel dibyniaethau.
Postiwyd y cod maleisus i gadwrfa'r NPM fel rhan o'r datganiadau nod-ipc 10.1.1 a 10.1.2. Postiwyd newid maleisus i gadwrfa Git y prosiect ar ran awdur y prosiect 11 diwrnod yn ôl. Pennwyd y wlad yn y cod trwy ffonio'r gwasanaeth api.ipgeolocation.io. Mae'r allwedd a gyrchwyd gan yr API ipgeolocation.io o fewnosodiad maleisus bellach wedi'i dirymu.
Yn y sylwadau i'r rhybudd am ymddangosiad cod amheus, dywedodd awdur y prosiect fod y newid yn deillio o ychwanegu ffeil i'r bwrdd gwaith sy'n dangos neges yn galw am heddwch. Mewn gwirionedd, cynhaliodd y cod gyfrifiad ailadroddus o gyfeiriaduron gydag ymgais i drosysgrifo'r holl ffeiliau y daethpwyd ar eu traws.
Yn ddiweddarach, gosodwyd y datganiadau nod-ipc 11.0.0 a 11.1.0 yn ystorfa NPM, a oedd yn lle'r cod maleisus adeiledig, yn ychwanegu'r ddibyniaeth allanol "peacenotwar", a reolir gan yr un awdur ac a gynigir i'w gynnwys mewn pecyn. cynhalwyr sy'n dymuno ymuno â'r brotest. Dywedir bod y pecyn peacenotwar yn dangos neges am y byd yn unig, ond gan ystyried y camau a gymerwyd eisoes gan yr awdur, mae cynnwys pellach y pecyn yn anrhagweladwy ac ni warantir absenoldeb newidiadau dinistriol.
Ar yr un pryd, rhyddhawyd diweddariad i'r gangen sefydlog nod-ipc 9.2.2, a ddefnyddir gan y prosiect Vue.js. Yn y datganiad newydd, yn ogystal â peacenotwar, ychwanegwyd y pecyn lliwiau hefyd at nifer y dibyniaethau, ac integreiddiodd yr awdur newidiadau dinistriol i'r cod ym mis Ionawr. Mae'r drwydded ffynhonnell yn y datganiad newydd wedi'i newid o MIT i DBAD.
Gan fod camau nesaf yr awdur yn anrhagweladwy, cynghorir defnyddwyr nod-ipc i drwsio'r dibyniaethau ar fersiwn 9.2.1. Mae cloi fersiynau hefyd yn cael ei argymell ar gyfer datblygiadau eraill gan yr un awdur a gynhaliodd 41 o becynnau. Mae rhai o'r pecynnau a gynhelir gan yr un awdur (js-queue, easy-stack, js-message, event- pubsub) yn cael tua miliwn o lawrlwythiadau yr wythnos.
Adendwm: Mae ymdrechion eraill i ychwanegu gweithredoedd at amrywiol becynnau agored nad ydynt yn gysylltiedig â swyddogaeth uniongyrchol cymwysiadau ac sydd ynghlwm wrth gyfeiriadau IP neu locale system hefyd yn cael eu cofnodi. Mae'r mwyaf diniwed o'r newidiadau hyn (es5-ext, rete, cyfansoddwr PHP, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) yn berwi i ddiwedd y rhyfel i ddefnyddwyr yn Rwsia a Belarus. Ar yr un pryd, datgelir amlygiadau mwy peryglus hefyd, er enghraifft, mae amgryptio wedi'i ychwanegu at becynnau modiwlau AWS Terraform ac mae cyfyngiadau gwleidyddol wedi'u cyflwyno i'r drwydded. Mae gan y firmware Tasmota ar gyfer dyfeisiau ESP8266 ac ESP32 dab adeiledig a all rwystro gweithrediad dyfeisiau. Tybir y gall gweithgaredd o'r fath danseilio ymddiriedaeth mewn meddalwedd cod agored yn ddifrifol.
Ffynhonnell: opennet.ru