Node-ipc NPM -paketissa (CVE-2022-23812) havaittiin haitallinen muutos 25 %:n todennäköisyydellä, että kaikkien kirjoitusoikeudet omaavien tiedostojen sisältö korvataan "❤️"-merkillä. Haitallinen koodi aktivoituu vain, kun se käynnistetään järjestelmissä, joiden IP-osoite on Venäjältä tai Valko-Venäjältä. Node-ipc-paketilla on noin miljoona latausta viikossa, ja sitä käytetään riippuvuutena 354 paketista, mukaan lukien vue-cli. Ongelma vaikuttaa myös kaikkiin projekteihin, joissa on node-ipc riippuvuuksina.
Haitallinen koodi lähetettiin NPM-tietovarastoon osana node-ipc 10.1.1- ja 10.1.2 -julkaisuja. Haitallinen muutos lähetettiin projektin Git-tietovarastoon projektin tekijän puolesta 11 päivää sitten. Maa määritettiin koodissa soittamalla api.ipgeolocation.io-palveluun. Avain, jota ipgeolocation.io API:lle käytettiin haitallisesta upotuksesta, on nyt peruutettu.
Hankkeen tekijä totesi epäilyttävän koodin ilmaantumista koskevan varoituksen kommenteissa, että muutos merkitsee tiedoston lisäämistä työpöydälle, joka näyttää rauhaan kutsuvan viestin. Itse asiassa koodi suoritti rekursiivisen haun hakemistoista yrittäen korvata kaikki löydetyt tiedostot.
Node-ipc 11.0.0 ja 11.1.0 julkaisut lähetettiin myöhemmin NPM-tietovarastoon, joka korvasi sisäänrakennetun haitallisen koodin ulkoisella riippuvuudella, "peacenotwar", jota kontrolloi sama kirjoittaja ja jota paketin ylläpitäjät halusivat sisällyttää. liittyä mielenosoituksiin. Todetaan, että peacenotwar-paketti näyttää vain viestin rauhasta, mutta tekijän jo tekemät toimet huomioon ottaen paketin tuleva sisältö on arvaamaton, eikä tuhoavien muutosten puuttumista voida taata.
Samaan aikaan julkaistiin päivitys vakaalle node-ipc 9.2.2 -haaralle, jota Vue.js-projekti käyttää. Uudessa julkaisussa riippuvuusluetteloon lisättiin peacenotwarin lisäksi myös väripaketti, jonka kirjoittaja integroi koodiin tuhoisia muutoksia tammikuussa. Uuden julkaisun lähdelisenssi on vaihdettu MIT:stä DBAD:iin.
Koska kirjoittajan jatkotoimet ovat arvaamattomia, node-ipc:n käyttäjiä suositellaan korjaamaan riippuvuudet versiosta 9.2.1. On myös suositeltavaa korjata 41 pakettia ylläpitäneen tekijän muiden kehitysten versiot. Joillakin saman tekijän ylläpitämillä paketeilla (js-queue, easy-stack, js-message, event-pubsub) on noin miljoona latausta viikossa.
Lisäys: Muita yrityksiä lisätä toimintoja erilaisiin avoimiin paketteihin, jotka eivät liity sovellusten suoraan toiminnallisuuteen ja jotka on sidottu IP-osoitteet tai järjestelmän kieliasetuksiin. Näistä muutoksista harmittomimmat (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) tiivistyvät näyttämään kehotuksia lopettaa sota käyttäjille Venäjällä ja Valko-Venäjällä. Kuitenkin on tunnistettu myös vaarallisempia ilmentymiä, kuten AWS Terraform -moduuleihin lisätyt kiristysohjelmat ja lisenssiin lisätyt poliittiset rajoitukset. Tasmota ESP8266- ja ESP32-laitteiden laiteohjelmisto sisältää takaportin, joka pystyy estämään laitteen toiminnan. Tällaisen toiminnan uskotaan heikentävän vakavasti luottamusta avoimen lähdekoodin ohjelmistoihin.
Lähde: opennet.ru
