In kweade feroaring waard ûntdutsen yn it node-ipc NPM-pakket (CVE-2022-23812), mei in 25% kâns dat de ynhâld fan alle bestannen dy't skriuwtagong hawwe ferfongen troch it karakter "❤️". De kweade koade wurdt allinich aktivearre as it wurdt lansearre op systemen mei IP-adressen út Ruslân of Wyt-Ruslân. It node-ipc-pakket hat sawat in miljoen downloads per wike en wurdt brûkt as ôfhinklikens fan 354-pakketten, ynklusyf vue-cli. Alle projekten dy't node-ipc hawwe as ôfhinklikens wurde ek beynfloede troch it probleem.
De kweade koade waard pleatst nei it NPM-repository as ûnderdiel fan 'e node-ipc 10.1.1 en 10.1.2 releases. In kweade feroaring waard pleatst yn it Git-repository fan it projekt út namme fan de auteur fan it projekt 11 dagen lyn. It lân waard bepaald yn 'e koade troch de tsjinst api.ipgeolocation.io te roppen. De kaai dy't tagong wie ta de ipgeolocation.io API fan 'e kweade ynbêde is no ynlutsen.
Yn 'e opmerkingen op' e warskôging oer it ferskinen fan dubieuze koade, stelde de skriuwer fan it projekt dat de feroaring bedraacht oan it tafoegjen fan in bestân oan it buroblêd dat in berjocht toant dat frede ropt. Yn feite hat de koade in rekursive sykopdracht fan mappen útfierd mei in besykjen om alle oantroffen bestannen te oerskriuwen.
Lettere releases fan node-ipc 11.0.0 en 11.1.0 waarden pleatst nei it NPM-repository, dy't de ynboude kweade koade ferfong mei in eksterne ôfhinklikens, "peacenotwar," kontrolearre troch deselde auteur en oanbean foar ynklúzje troch pakketbehearders dy't winskje om mei te dwaan oan it protest. It wurdt oanjûn dat it peacenotwar-pakket allinich in berjocht oer frede toant, mar rekken hâldend mei de aksjes dy't al nommen binne troch de auteur, binne de fierdere ynhâld fan it pakket ûnfoarspelber en it ûntbrekken fan destruktive feroarings is net garandearre.
Tagelyk waard in update nei de stabile node-ipc 9.2.2-tûke, dy't brûkt wurdt troch it Vue.js-projekt, frijlitten. Yn 'e nije release, neist peacenotwar, waard it kleurenpakket ek tafoege oan' e list fan ôfhinklikens, wêrfan de skriuwer yn jannewaris destruktive feroaringen yn 'e koade yntegrearre. De boarne lisinsje foar de nije release is feroare fan MIT nei DBAD.
Om't de fierdere aksjes fan 'e skriuwer ûnfoarspelber binne, wurde node-ipc-brûkers oanrikkemandearre om de ôfhinklikens op ferzje 9.2.1 te reparearjen. It is ek oan te rieden om ferzjes te reparearjen foar oare ûntjouwings troch deselde auteur dy't 41 pakketten ûnderhâlde. Guon fan 'e pakketten ûnderhâlden troch deselde auteur (js-queue, easy-stack, js-message, event-pubsub) hawwe sawat in miljoen downloads per wike.
Tafoeging: Oare besykjen binne opnommen om aksjes ta te foegjen oan ferskate iepen pakketten dy't net relatearre binne oan de direkte funksjonaliteit fan applikaasjes en binne bûn oan IP-adressen of systeemlokaal. De meast harmless fan dizze wizigingen (es5-ext, rete, PHP-komponist, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) komme del op it werjaan fan oproppen om de oarloch te einigjen foar brûkers út Ruslân en Wyt-Ruslân. Tagelyk, mear gefaarlike manifestaasjes wurde ek identifisearre, Bygelyks, in fersifer waard tafoege oan AWS Terraform modules pakketten en politike beheinings waarden ynfierd yn de lisinsje. Tasmota-firmware foar ESP8266- en ESP32-apparaten hat in ynboude blêdwizer dy't de wurking fan apparaten kin blokkearje. It wurdt leaud dat sa'n aktiviteit it fertrouwen yn iepen boarne software serieus kin ûndergrave.
Boarne: opennet.ru