Node-ipc NPM -paketissa (CVE-2022-23812) havaittiin haitallinen muutos 25 %:n todennäköisyydellä, että kaikkien kirjoitusoikeudet omaavien tiedostojen sisältö korvataan "❤️"-merkillä. Haitallinen koodi aktivoituu vain, kun se käynnistetään järjestelmissä, joiden IP-osoite on Venäjältä tai Valko-Venäjältä. Node-ipc-paketilla on noin miljoona latausta viikossa, ja sitä käytetään riippuvuutena 354 paketista, mukaan lukien vue-cli. Ongelma vaikuttaa myös kaikkiin projekteihin, joissa on node-ipc riippuvuuksina.
Haitallinen koodi lähetettiin NPM-tietovarastoon osana node-ipc 10.1.1- ja 10.1.2 -julkaisuja. Haitallinen muutos lähetettiin projektin Git-tietovarastoon projektin tekijän puolesta 11 päivää sitten. Maa määritettiin koodissa soittamalla api.ipgeolocation.io-palveluun. Avain, jota ipgeolocation.io API:lle käytettiin haitallisesta upotuksesta, on nyt peruutettu.
Hankkeen tekijä totesi epäilyttävän koodin ilmaantumista koskevan varoituksen kommenteissa, että muutos merkitsee tiedoston lisäämistä työpöydälle, joka näyttää rauhaan kutsuvan viestin. Itse asiassa koodi suoritti rekursiivisen haun hakemistoista yrittäen korvata kaikki löydetyt tiedostot.
Node-ipc 11.0.0 ja 11.1.0 julkaisut lähetettiin myöhemmin NPM-tietovarastoon, joka korvasi sisäänrakennetun haitallisen koodin ulkoisella riippuvuudella, "peacenotwar", jota kontrolloi sama kirjoittaja ja jota paketin ylläpitäjät halusivat sisällyttää. liittyä mielenosoituksiin. Todetaan, että peacenotwar-paketti näyttää vain viestin rauhasta, mutta tekijän jo tekemät toimet huomioon ottaen paketin tuleva sisältö on arvaamaton, eikä tuhoavien muutosten puuttumista voida taata.
Samaan aikaan julkaistiin päivitys vakaalle node-ipc 9.2.2 -haaralle, jota Vue.js-projekti käyttää. Uudessa julkaisussa riippuvuusluetteloon lisättiin peacenotwarin lisäksi myös väripaketti, jonka kirjoittaja integroi koodiin tuhoisia muutoksia tammikuussa. Uuden julkaisun lähdelisenssi on vaihdettu MIT:stä DBAD:iin.
Koska kirjoittajan jatkotoimet ovat arvaamattomia, node-ipc:n käyttäjiä suositellaan korjaamaan riippuvuudet versiosta 9.2.1. On myös suositeltavaa korjata 41 pakettia ylläpitäneen tekijän muiden kehitysten versiot. Joillakin saman tekijän ylläpitämillä paketeilla (js-queue, easy-stack, js-message, event-pubsub) on noin miljoona latausta viikossa.
Lisäys: On kirjattu muitakin yrityksiä lisätä toimintoja erilaisiin avoimiin paketteihin, jotka eivät liity suoraan sovellusten toimivuuteen ja jotka on sidottu IP-osoitteisiin tai järjestelmän alueeseen. Vaarallisin näistä muutoksista (es5-ext, rete, PHP-säveltäjä, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) tiivistyy sodan lopetuskutsujen näyttämiseen Venäjän ja Valko-Venäjän käyttäjille. Samalla tunnistetaan myös vaarallisempia ilmenemismuotoja, esimerkiksi AWS Terraform -moduulipaketteihin lisättiin salaus ja lisenssiin lisättiin poliittisia rajoituksia. Tasmota-laiteohjelmistossa ESP8266- ja ESP32-laitteille on sisäänrakennettu kirjanmerkki, joka voi estää laitteiden toiminnan. Uskotaan, että tällainen toiminta voisi vakavasti heikentää luottamusta avoimen lähdekoodin ohjelmistoihin.
Lähde: opennet.ru