En ondsindet ændring er blevet identificeret i node-ipc NPM-pakken (CVE-2022-23812), der har en 25 % chance for at erstatte indholdet af alle filer, der har skriveadgang, med et "❤️"-tegn. Den ondsindede kode aktiveres kun, når den startes på systemer med IP-adresser fra Rusland eller Hviderusland. Node-ipc-pakken har omkring en million downloads om ugen og bruges som en afhængighed for 354 pakker, inklusive vue-cli. Alle projekter, der har node-ipc som afhængigheder, påvirkes også.
Den ondsindede kode blev sendt til NPM-lageret som en del af node-ipc 10.1.1 og 10.1.2-udgivelserne. En ondsindet ændring blev sendt til projektets Git-lager på vegne af projektforfatteren for 11 dage siden. Landet blev bestemt i koden ved at ringe til tjenesten api.ipgeolocation.io. Nøglen tilgået af ipgeolocation.io API fra en ondsindet indsættelse er nu blevet tilbagekaldt.
I kommentarerne til advarslen om udseendet af tvivlsom kode udtalte forfatteren af projektet, at ændringen bunder i at tilføje en fil til skrivebordet, der viser en besked, der kalder på fred. Faktisk udførte koden en rekursiv opregning af mapper med et forsøg på at overskrive alle de stødte filer.
Senere blev node-ipc 11.0.0 og 11.1.0-udgivelserne placeret i NPM-lageret, som i stedet for den indbyggede ondsindede kode tilføjede "peacenotwar" ekstern afhængighed, kontrolleret af samme forfatter og tilbudt til inklusion af pakke vedligeholdere, der ønsker at deltage i protesten. Det er angivet, at peacenotwar-pakken kun viser et budskab om verden, men under hensyntagen til de handlinger, der allerede er foretaget af forfatteren, er det yderligere indhold af pakken uforudsigeligt, og fraværet af destruktive ændringer er ikke garanteret.
Sideløbende blev der udgivet en opdatering til node-ipc 9.2.2 stabile gren, som bruges af Vue.js-projektet. I den nye udgivelse blev farvepakken, udover peacenotwar, også tilføjet til antallet af afhængigheder, hvis forfatter integrerede destruktive ændringer i koden i januar. Kildelicensen i den nye udgivelse er blevet ændret fra MIT til DBAD.
Da forfatterens næste trin er uforudsigelige, rådes node-ipc-brugere til at rette afhængighederne på version 9.2.1. Låseversioner anbefales også til andre udviklinger af den samme forfatter, som vedligeholdt 41 pakker. Nogle af de pakker, der vedligeholdes af den samme forfatter (js-queue, easy-stack, js-message, event-pubsub) har omkring en million downloads om ugen.
Tillæg: Andre forsøg på at tilføje handlinger til forskellige åbne pakker, der ikke er relateret til applikationernes direkte funktionalitet og er bundet til IP-adresser eller systemlokalitet, bliver også registreret. De mest uskadelige af disse ændringer (es5-ext, rete, PHP-komponist, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) bunder i at afslutte krigen for brugere i Rusland og Hviderusland. Samtidig afsløres også mere farlige manifestationer, for eksempel er der tilføjet en kryptering til AWS Terraform-modulpakkerne, og der er indført politiske restriktioner i licensen. Tasmota-firmwaren til ESP8266- og ESP32-enheder har en indbygget fane, der kan blokere betjeningen af enheder. Det antages, at en sådan aktivitet alvorligt kan underminere tilliden til open source-software.
Kilde: opennet.ru