Node-ipc NPM-paketis (CVE-2022-23812) tuvastati pahatahtlik muudatus, mille puhul on 25% tõenäosus asendada kõigi kirjutamisõigusega failide sisu märgiga "❤️". Pahatahtlik kood aktiveeritakse ainult siis, kui see käivitatakse Venemaa või Valgevene IP-aadressidega süsteemides. Node-ipc paketil on nädalas umbes miljon allalaadimist ja seda kasutatakse 354 paketi, sealhulgas vue-cli sõltuvusena. Mõjutatud on ka kõik projektid, mille sõltuvusteks on node-ipc.
Pahatahtlik kood postitati NPM-i hoidlasse osana node-ipc 10.1.1 ja 10.1.2 väljalasetest. 11 päeva tagasi postitati projekti autori nimel pahatahtlik muudatus projekti Giti hoidlasse. Riik määrati koodis, helistades teenusele api.ipgeolocation.io. Võti, millele ipgeolocation.io API pääses ligi pahatahtlikust sisestusest, on nüüd tühistatud.
Küsitava koodi ilmumise hoiatuse kommentaarides märkis projekti autor, et muudatus taandub töölauale faili lisamisele, mis kuvab rahule kutsuva sõnumi. Tegelikult viis kood läbi kataloogide rekursiivse loendamise, püüdes kõik leitud failid üle kirjutada.
Hiljem paigutati NPM-i hoidlasse node-ipc 11.0.0 ja 11.1.0 väljalasked, mis lisasid sisseehitatud pahatahtliku koodi asemel "peacenotwari" välise sõltuvuse, mida kontrollis sama autor ja mida pakuti kaasamiseks paketina. hooldajad, kes soovivad protestiga ühineda. Nenditakse, et peacenotwar pakett kuvab ainult sõnumit maailmast, kuid võttes arvesse autori juba tehtud toiminguid, on paketi edasine sisu ettearvamatu ning destruktiivsete muutuste puudumine ei ole garanteeritud.
Paralleelselt anti välja uuendus node-ipc 9.2.2 stabiilsele harule, mida kasutab projekt Vue.js. Uues väljaandes lisandus sõltuvuste hulka lisaks peacenotwarile ka värvide pakett, mille autor integreeris jaanuaris koodi destruktiivsed muudatused. Uue versiooni lähtelitsents on muudetud MIT-lt DBAD-iks.
Kuna autori järgmised sammud on ettearvamatud, soovitatakse node-ipc kasutajatel parandada sõltuvused versioonist 9.2.1. Versioonide lukustamist soovitab ka muude arenduste jaoks sama autor, kes hooldas 41 paketti. Mõnda sama autori hooldatavat paketti (js-queue, easy-stack, js-message, event-pubsub) laaditakse nädalas umbes miljon alla.
Lisa: salvestatakse ka muud katsed lisada toiminguid erinevatele avatud pakettidele, mis ei ole seotud rakenduste otsese funktsionaalsusega ja on seotud IP-aadresside või süsteemi lokaadiga. Nendest muudatustest kõige kahjutum (es5-ext, rete, PHP helilooja, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) taandub sõja lõpetamisele Venemaa ja Valgevene kasutajate jaoks. Samas paljastatakse ka ohtlikumaid ilminguid, näiteks on AWS Terraformi moodulite pakettidele lisatud krüpteerija ja litsentsi on seatud poliitilisi piiranguid. Tasmota püsivaral ESP8266 ja ESP32 seadmete jaoks on sisseehitatud vahekaart, mis võib blokeerida seadmete töö. Eeldatakse, et selline tegevus võib tõsiselt kahjustada usaldust avatud lähtekoodiga tarkvara vastu.
Allikas: opennet.ru