Braitheadh athrú mailíseach sa phacáiste NPM nód-ipc (CVE-2022-23812), le dóchúlacht 25% go gcuirfear an carachtar “❤️” in ionad ábhar na gcomhad go léir a bhfuil rochtain scríofa acu. Ní chuirtear an cód mailíseach i ngníomh ach amháin nuair a sheoltar é ar chórais le seoltaí IP ón Rúis nó ón Bhealarúis. Tá thart ar mhilliún íosluchtú sa tseachtain sa phacáiste nód-ipc agus úsáidtear é mar spleáchas ar 354 pacáiste, lena n-áirítear vue-cli. Bíonn tionchar ag an bhfadhb freisin ar gach tionscadal a bhfuil nód-ipc acu mar spleáchais.
Cuireadh an cód mailíseach chuig stór an NPM mar chuid d’eisiúintí nód-ipc 10.1.1 agus 10.1.2. Postáladh athrú mailíseach chuig stór Git an tionscadail thar ceann údair an tionscadail 11 lá ó shin. Socraíodh an tír sa chód trí ghlaoch a chur ar an tseirbhís api.ipgeolocation.io. Tá an eochair ar a bhfuarthas rochtain ar an API ipgeolocation.io ón leabú mailíseach cúlghairthe anois.
Sna tuairimí don rabhadh faoi chuma cód amhrasach, dúirt údar an tionscadail gurb ionann an t-athrú agus comhad a chur leis an deasc a thaispeánann teachtaireacht ag iarraidh síocháin. Déanta na fírinne, rinne an cód cuardach athchúrsach ar eolairí le hiarracht a dhéanamh na comhaid ar fad ar thángthas orthu a fhorscríobh.
Cuireadh eisiúintí nód-ipc 11.0.0 agus 11.1.0 sa phost níos déanaí chuig stór an NPM, a chuir spleáchas seachtrach, “peacenotwar,” arna rialú ag an údar céanna in ionad an chóid mailísigh ionsuite, arna rialú ag an údar céanna agus arna thairiscint lena gcur san áireamh ag cothaitheoirí pacáiste ar mian leo. a bheith páirteach san agóid. Luaitear nach dtaispeántar sa phacáiste peacenotwar ach teachtaireacht faoi shíocháin, ach ag cur san áireamh na gníomhartha a rinne an t-údar cheana féin, ní féidir a thuilleadh ábhar sa phacáiste a thuar agus ní ráthaítear easpa athruithe millteach.
Ag an am céanna, scaoileadh nuashonrú ar an brainse cobhsaí nód-ipc 9.2.2, a úsáideann an tionscadal Vue.js. Sa scaoileadh nua, chomh maith le peacenotwar, cuireadh an pacáiste dathanna leis an liosta spleáchais freisin, a ndearna an t-údar athruithe millteach a chomhtháthú sa chód i mí Eanáir. Athraíodh an ceadúnas foinse don eisiúint nua ó MIT go DBAD.
Ós rud é go bhfuil gníomhartha breise an údair dothuartha, moltar d'úsáideoirí nód-ipc na spleáchais ar leagan 9.2.1 a shocrú. Moltar freisin leaganacha a shocrú d'fhorbairtí eile ag an údar céanna a choinnigh 41 pacáiste. Tá thart ar mhilliún íoslódálacha in aghaidh na seachtaine ag cuid de na pacáistí a chothaíonn an t-údar céanna (js-queue, easy-stack, js-message, event- pubsub).
Breisiú: Iarrachtaí eile chun gníomhartha a chur le pacáistí oscailte éagsúla nach mbaineann le feidhmiúlacht dhíreach feidhmchlár agus atá ceangailte le Mo sheoladh IP nó logán an chórais. Is é atá i gceist leis na hathruithe is neamhdhíobhálaí de na hathruithe seo (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) ná glaonna a thaispeáint chun deireadh a chur leis an gcogadh d'úsáideoirí sa Rúis agus sa Bhealarúis. Mar sin féin, tá léirithe níos contúirtí aitheanta freisin, amhail ransomware a cuireadh le modúil AWS Terraform agus srianta polaitiúla a cuireadh leis an gceadúnas. Tá doras cúil i bhfirmware Tasmota do ghléasanna ESP8266 agus ESP32 atá in ann oibriú gléasanna a bhac. Creidtear go mbaintear an bonn dáiríre as an muinín i mbogearraí foinse oscailte.
Foinse: oscailtenet.ru
