Detectouse un cambio malicioso no paquete node-ipc NPM (CVE-2022-23812), cunha probabilidade do 25 % de que o contido de todos os ficheiros que teñen acceso de escritura sexan substituídos polo carácter "❤️". O código malicioso só se activa cando se inicia en sistemas con enderezos IP de Rusia ou Bielorrusia. O paquete node-ipc ten preto dun millón de descargas por semana e úsase como dependencia de 354 paquetes, incluíndo vue-cli. Todos os proxectos que teñen node-ipc como dependencias tamén se ven afectados polo problema.
O código malicioso publicouse no repositorio de NPM como parte das versións node-ipc 10.1.1 e 10.1.2. Hai 11 días publicouse un cambio malicioso no repositorio de Git do proxecto en nome do autor do proxecto. O país determinouse no código chamando ao servizo api.ipgeolocation.io. A clave á que se accedeu á API ipgeolocation.io desde a inserción maliciosa agora foi revogada.
Nos comentarios ao aviso sobre a aparición de código dubidoso, o autor do proxecto afirmou que o cambio supón engadir ao escritorio un ficheiro que mostra unha mensaxe pedindo paz. De feito, o código realizou unha busca recursiva de directorios co intento de sobrescribir todos os ficheiros atopados.
As versións de node-ipc 11.0.0 e 11.1.0 foron publicadas posteriormente no repositorio de NPM, que substituíu o código malicioso incorporado por unha dependencia externa, "peacenowar", controlada polo mesmo autor e ofrecida para a súa inclusión polos mantedores de paquetes que o desexasen. para sumarse á protesta. Indícase que o paquete peacenowarr só mostra unha mensaxe sobre a paz, pero tendo en conta as accións xa realizadas polo autor, o contido adicional do paquete é imprevisible e non se garante a ausencia de cambios destrutivos.
Ao mesmo tempo, lanzouse unha actualización da rama estable node-ipc 9.2.2, que utiliza o proxecto Vue.js. Na nova versión, ademais de peacenowar, tamén se engadiu o paquete de cores á lista de dependencias, cuxo autor integrou cambios destrutivos no código en xaneiro. A licenza de orixe para a nova versión cambiouse de MIT a DBAD.
Dado que as accións posteriores do autor son impredicibles, recoméndase aos usuarios de node-ipc que corrixan as dependencias na versión 9.2.1. Tamén se recomenda arranxar versións para outros desenvolvementos do mesmo autor que mantiña 41 paquetes. Algúns dos paquetes mantidos polo mesmo autor (js-queue, easy-stack, js-message, event-pubsub) teñen preto dun millón de descargas por semana.
Adición: rexistráronse outros intentos de engadir accións a varios paquetes abertos que non están relacionados coa funcionalidade directa das aplicacións e están vinculados a enderezos IP ou a configuración rexional do sistema. Os máis inofensivos destes cambios (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) redúcense a mostrar chamadas para rematar a guerra para os usuarios de Rusia e Bielorrusia. Ao mesmo tempo, tamén se identifican manifestacións máis perigosas, por exemplo, engadiuse un cifrador aos paquetes de módulos de AWS Terraform e introducíronse restricións políticas na licenza. O firmware Tasmota para dispositivos ESP8266 e ESP32 ten un marcador incorporado que pode bloquear o funcionamento dos dispositivos. Crese que tal actividade podería socavar seriamente a confianza no software de código aberto.
Fonte: opennet.ru