Malica ŝanĝo estis identigita en la pakaĵo node-ipc NPM (CVE-2022-23812), kiu havas 25% eblecon anstataŭigi la enhavon de ĉiuj dosieroj, kiuj havas skriban aliron per "❤️" signo. La malica kodo estas aktivigita nur kiam ĝi estas lanĉita sur sistemoj kun IP-adresoj el Rusio aŭ Belorusio. La node-ipc-pakaĵo havas ĉirkaŭ milionon da elŝutoj semajne kaj estas uzata kiel dependeco por 354 pakaĵoj, inkluzive de vue-cli. Ĉiuj projektoj kiuj havas node-ipc kiel dependencojn ankaŭ estas tuŝitaj.
La malica kodo estis afiŝita al la deponejo de NPM kiel parto de la eldonoj node-ipc 10.1.1 kaj 10.1.2. Malica ŝanĝo estis afiŝita al la Git-deponejo de la projekto nome de la aŭtoro de la projekto antaŭ 11 tagoj. La lando estis determinita en la kodo vokante la servon api.ipgeolocation.io. La ŝlosilo alirita de la ipgeolocation.io API de malica enmeto nun estis revokita.
En la komentoj al la averto pri la apero de dubinda kodo, la aŭtoro de la projekto deklaris, ke la ŝanĝo konsistas en aldoni dosieron al la labortablo, kiu montras mesaĝon petante pacon. Fakte, la kodo efektivigis rekursivan listigon de dosierujoj kun provo anstataŭi ĉiujn renkontitajn dosierojn.
Poste, la eldonoj node-ipc 11.0.0 kaj 11.1.0 estis metitaj en la deponejon de NPM, kiu anstataŭ la enkonstruita malica kodo aldonis la eksteran dependecon "peacenowar", kontrolitan de la sama aŭtoro kaj proponitan por inkludo per pako. prizorgantoj kiuj deziras aliĝi al la protesto. Estas deklarite, ke la pacnowara pakaĵo nur montras mesaĝon pri la mondo, sed konsiderante la agojn jam faritajn de la aŭtoro, la pluaj enhavoj de la pakaĵo estas neantaŭvideblaj kaj la foresto de detruaj ŝanĝoj ne estas garantiita.
Paralele, ĝisdatigo estis publikigita al la stabila branĉo node-ipc 9.2.2, kiu estas uzata de la projekto Vue.js. En la nova eldono, krom peacenowar, la kolorpakaĵo ankaŭ estis aldonita al la listo de dependecoj, kies aŭtoro integris detruajn ŝanĝojn en la kodon en januaro. La fontlicenco en la nova eldono estis ŝanĝita de MIT al DBAD.
Ĉar la sekvaj paŝoj de la aŭtoro estas neantaŭvideblaj, node-ipc-uzantoj estas konsilitaj ripari la dependecojn en versio 9.2.1. Ŝlosado de versioj ankaŭ estas rekomendita por aliaj evoluoj de la sama aŭtoro kiu konservis 41 pakaĵojn. Kelkaj el la pakaĵoj konservitaj de la sama aŭtoro (js-queue, easy-stack, js-message, event-pubsub) havas ĉirkaŭ milionon da elŝutoj semajne.
Aldono: Aliaj provoj aldoni agojn al diversaj malfermitaj pakaĵoj, kiuj ne rilatas al la rekta funkcieco de aplikaĵoj kaj estas ligitaj al IP-adresoj aŭ sistemaj lokaĵoj, ankaŭ estas registritaj. La plej sendanĝeraj el ĉi tiuj ŝanĝoj (es5-ext, rete, PHP-komponisto, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) resumas por fini la militon por uzantoj en Rusio kaj Belorusio. Samtempe, pli danĝeraj manifestiĝoj ankaŭ estas malkaŝitaj, ekzemple, ĉifrilo estis aldonita al la pakaĵoj de AWS Terraform-moduloj kaj politikaj limigoj estis enkondukitaj en la permesilon. La Tasmota-firmvaro por ESP8266 kaj ESP32-aparatoj havas enkonstruitan langeton, kiu povas bloki la funkciadon de aparatoj. Oni supozas, ke tia agado povas grave subfosi fidon al malfermkoda programaro.
fonto: opennet.ru