Aldaketa kaltegarri bat identifikatu da node-ipc NPM paketean (CVE-2022-23812), idazteko sarbidea duten fitxategi guztien edukia "❤️" karaktere batekin ordezteko % 25eko aukera duena. Kode gaiztoa Errusiako edo Bielorrusiako IP helbideak dituzten sistemetan abiarazten denean bakarrik aktibatzen da. Node-ipc paketeak astean milioi bat deskarga inguru ditu eta 354 paketeren menpekotasun gisa erabiltzen da, vue-cli barne. Node-ipc menpekotasun gisa duten proiektu guztiak ere eragina dute.
Kode gaiztoa NPM biltegian argitaratu zen node-ipc 10.1.1 eta 10.1.2 bertsioen zati gisa. Duela 11 egun proiektuaren Git biltegian aldaketa gaizto bat argitaratu zen proiektuaren egilearen izenean. Herrialdea kodean zehaztu zen api.ipgeolocation.io zerbitzura deituz. Asmo txarreko txertatze batetik ipgeolocation.io APIak atzitzen duen gakoa kendu egin da.
Zalantzazko kodearen agerpenari buruzko abisuari egindako iruzkinetan, proiektuaren egileak adierazi zuen aldaketa bakea deitzen duen mezu bat bistaratzen duen mahaigainean fitxategi bat gehitzean datza. Izan ere, kodeak zenbaketa errekurtsibo bat egin zuen, aurkitutako fitxategi guztiak gainidatzi nahian.
Geroago, node-ipc 11.0.0 eta 11.1.0 bertsioak NPM biltegian jarri ziren, barnean dagoen kode gaiztoaren ordez, "peacenowar" kanpoko menpekotasuna gehitu zuen, egile berberak kontrolatuta eta paketeka sartzeko eskainitakoa. protestarekin bat egin nahi duten mantentzaileak. Peacenotwar paketeak munduari buruzko mezu bat erakusten duela adierazten da, baina egileak dagoeneko egindako ekintzak kontuan hartuta, paketearen eduki gehiago ezustekoak dira eta aldaketa suntsitzailerik ez egotea ez dago bermatuta.
Aldi berean, Vue.js proiektuak erabiltzen duen nodo-ipc 9.2.2 adar egonkorra eguneratu zen. Argitalpen berrian, peacenowarraz gain, koloreen paketea ere gehitu zen mendekotasunen zerrendara, eta horren egileak aldaketa suntsitzaileak sartu zituen urtarrilean kodean. Argitalpen berriko iturburu lizentzia MITetik DBADra aldatu da.
Egilearen hurrengo urratsak ezustekoak direnez, node-ipc erabiltzaileei 9.2.1 bertsioaren menpekotasunak konpontzea gomendatzen zaie. Bertsioak blokeatzea gomendatzen da 41 pakete mantentzen dituen egile beraren beste garapen batzuetarako. Egile berak mantentzen dituen pakete batzuek (js-queue, easy-stack, js-message, event-pubsub) milioi bat deskarga inguru dituzte astean.
Gehigarria: Aplikazioen funtzionaltasun zuzenarekin zerikusirik ez duten eta lotuta dauden hainbat pakete irekitan ekintzak gehitzeko beste saiakera batzuk Nire IP helbidea edo sistemaren lokalizazioa. Aldaketa horien artean kaltegabeenak (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) Errusiako eta Bielorrusiako erabiltzaileei gerra amaitzeko deiak erakustera mugatzen dira. Hala ere, adierazpen arriskutsuagoak ere identifikatu dira, hala nola AWS Terraform moduluetan gehitutako ransomwarea eta lizentzian gehitutako murrizketa politikoak. ESP8266 eta ESP32 gailuetarako Tasmota firmwareak gailuen funtzionamendua blokeatzeko gai den atzeko ate bat dauka. Uste da jarduera horrek software librearekiko konfiantza larriki ahultzen duela.
Iturria: opennet.ru
