Aldaketa kaltegarri bat identifikatu da node-ipc NPM paketean (CVE-2022-23812), idazteko sarbidea duten fitxategi guztien edukia "β€οΈ" karaktere batekin ordezteko % 25eko aukera duena. Kode gaiztoa Errusiako edo Bielorrusiako IP helbideak dituzten sistemetan abiarazten denean bakarrik aktibatzen da. Node-ipc paketeak astean milioi bat deskarga inguru ditu eta 354 paketeren menpekotasun gisa erabiltzen da, vue-cli barne. Node-ipc menpekotasun gisa duten proiektu guztiak ere eragina dute.
Kode gaiztoa NPM biltegian argitaratu zen node-ipc 10.1.1 eta 10.1.2 bertsioen zati gisa. Duela 11 egun proiektuaren Git biltegian aldaketa gaizto bat argitaratu zen proiektuaren egilearen izenean. Herrialdea kodean zehaztu zen api.ipgeolocation.io zerbitzura deituz. Asmo txarreko txertatze batetik ipgeolocation.io APIak atzitzen duen gakoa kendu egin da.
Zalantzazko kodearen agerpenari buruzko abisuari egindako iruzkinetan, proiektuaren egileak adierazi zuen aldaketa bakea deitzen duen mezu bat bistaratzen duen mahaigainean fitxategi bat gehitzean datza. Izan ere, kodeak zenbaketa errekurtsibo bat egin zuen, aurkitutako fitxategi guztiak gainidatzi nahian.
Geroago, node-ipc 11.0.0 eta 11.1.0 bertsioak NPM biltegian jarri ziren, barnean dagoen kode gaiztoaren ordez, "peacenowar" kanpoko menpekotasuna gehitu zuen, egile berberak kontrolatuta eta paketeka sartzeko eskainitakoa. protestarekin bat egin nahi duten mantentzaileak. Peacenotwar paketeak munduari buruzko mezu bat erakusten duela adierazten da, baina egileak dagoeneko egindako ekintzak kontuan hartuta, paketearen eduki gehiago ezustekoak dira eta aldaketa suntsitzailerik ez egotea ez dago bermatuta.
Aldi berean, Vue.js proiektuak erabiltzen duen nodo-ipc 9.2.2 adar egonkorra eguneratu zen. Argitalpen berrian, peacenowarraz gain, koloreen paketea ere gehitu zen mendekotasunen zerrendara, eta horren egileak aldaketa suntsitzaileak sartu zituen urtarrilean kodean. Argitalpen berriko iturburu lizentzia MITetik DBADra aldatu da.
Egilearen hurrengo urratsak ezustekoak direnez, node-ipc erabiltzaileei 9.2.1 bertsioaren menpekotasunak konpontzea gomendatzen zaie. Bertsioak blokeatzea gomendatzen da 41 pakete mantentzen dituen egile beraren beste garapen batzuetarako. Egile berak mantentzen dituen pakete batzuek (js-queue, easy-stack, js-message, event-pubsub) milioi bat deskarga inguru dituzte astean.
Gehigarria: aplikazioen funtzionalitate zuzenarekin erlazionatuta ez dauden eta IP helbideekin edo sistemaren lokalizazioarekin lotuta dauden hainbat pakete irekietan ekintzak gehitzeko beste saiakera batzuk ere erregistratzen dira. Aldaketa hauetatik kaltegabeenak (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) Errusiako eta Bielorrusiako erabiltzaileen gerra amaitzea da. Aldi berean, agerpen arriskutsuagoak ere agerian uzten dira, adibidez, enkriptatzaile bat gehitu da AWS Terraform moduluen paketeetan eta murrizketa politikoak sartu dira lizentzian. ESP8266 eta ESP32 gailuetarako Tasmota firmwareak gailuen funtzionamendua blokeatu dezakeen fitxa integratua du. Suposatzen da jarduera horrek kode irekiko softwarearekiko konfiantza larriki kaltetu dezakeela.
Iturria: opennet.ru