🥇 નોડ-ipc NPM પેકેજમાં દૂષિત ફેરફાર કરવામાં આવ્યો છે જે રશિયા અને બેલારુસમાં સિસ્ટમો પરની ફાઇલોને કાઢી નાખે છે

નોડ-ipc NPM પેકેજ (CVE-2022-23812) માં દૂષિત ફેરફાર જોવા મળ્યો હતો, જેમાં 25% સંભાવના છે કે લખવાની ઍક્સેસ ધરાવતી બધી ફાઇલોના સમાવિષ્ટોને "❤️" અક્ષરથી બદલવામાં આવે છે. દૂષિત કોડ ત્યારે જ સક્રિય થાય છે જ્યારે રશિયા અથવા બેલારુસના IP સરનામાઓ સાથે સિસ્ટમો પર લોંચ કરવામાં આવે છે. નોડ-આઈપીસી પેકેજ દર અઠવાડિયે લગભગ એક મિલિયન ડાઉનલોડ્સ ધરાવે છે અને તેનો ઉપયોગ વ્યુ-ક્લી સહિત 354 પેકેજો પર નિર્ભરતા તરીકે થાય છે. નિર્ભરતા તરીકે નોડ-આઈપીસી ધરાવતા તમામ પ્રોજેક્ટ્સ પણ સમસ્યાથી પ્રભાવિત થાય છે.

નોડ-ipc 10.1.1 અને 10.1.2 રિલીઝના ભાગ રૂપે દૂષિત કોડ NPM રિપોઝીટરીમાં પોસ્ટ કરવામાં આવ્યો હતો. 11 દિવસ પહેલા પ્રોજેક્ટના લેખક વતી પ્રોજેક્ટના ગિટ રિપોઝીટરીમાં દૂષિત ફેરફાર પોસ્ટ કરવામાં આવ્યો હતો. api.ipgeolocation.io સેવા પર કૉલ કરીને કોડમાં દેશ નક્કી કરવામાં આવ્યો હતો. દૂષિત એમ્બેડમાંથી ipgeolocation.io API માં એક્સેસ કરાયેલી કી હવે રદ કરવામાં આવી છે.

શંકાસ્પદ કોડના દેખાવ વિશે ચેતવણીની ટિપ્પણીઓમાં, પ્રોજેક્ટના લેખકે જણાવ્યું હતું કે ફેરફાર ડેસ્કટૉપ પર ફાઇલ ઉમેરવા સમાન છે જે શાંતિ માટે બોલાવતો સંદેશ દર્શાવે છે. વાસ્તવમાં, કોડે તમામ ફાઈલોને ઓવરરાઈટ કરવાના પ્રયાસ સાથે ડિરેક્ટરીઓની પુનરાવર્તિત શોધ હાથ ધરી હતી.

નોડ-આઈપીસી 11.0.0 અને 11.1.0 ની રીલીઝ પછીથી NPM રીપોઝીટરીમાં પોસ્ટ કરવામાં આવી હતી, જેણે બિલ્ટ-ઇન દૂષિત કોડને બાહ્ય નિર્ભરતા સાથે બદલ્યો હતો, "પીસનોટવાર", જે સમાન લેખક દ્વારા નિયંત્રિત હતું અને ઈચ્છતા પેકેજ જાળવણીકારો દ્વારા સમાવેશ માટે ઓફર કરવામાં આવી હતી. વિરોધમાં જોડાવા માટે. એવું જણાવવામાં આવ્યું છે કે peacenotwar પેકેજ માત્ર શાંતિ વિશેનો સંદેશો દર્શાવે છે, પરંતુ લેખક દ્વારા પહેલેથી જ લેવામાં આવેલી ક્રિયાઓને ધ્યાનમાં લેતા, પેકેજની આગળની સામગ્રી અણધારી છે અને વિનાશક ફેરફારોની ગેરહાજરીની ખાતરી આપવામાં આવતી નથી.

તે જ સમયે, સ્થિર નોડ-આઈપીસી 9.2.2 શાખામાં અપડેટ, જેનો ઉપયોગ Vue.js પ્રોજેક્ટ દ્વારા કરવામાં આવે છે, પ્રકાશિત કરવામાં આવ્યો હતો. નવા પ્રકાશનમાં, શાંતિનોટવાર ઉપરાંત, રંગોનું પેકેજ પણ નિર્ભરતાઓની સૂચિમાં ઉમેરવામાં આવ્યું હતું, જેના લેખક જાન્યુઆરીમાં કોડમાં વિનાશક ફેરફારોને સંકલિત કરે છે. નવા પ્રકાશન માટે સ્ત્રોત લાઇસન્સ MIT થી DBAD માં બદલાઈ ગયું છે.

લેખકની આગળની ક્રિયાઓ અણધારી હોવાથી, node-ipc વપરાશકર્તાઓને આવૃત્તિ 9.2.1 પર નિર્ભરતાને ઠીક કરવાની ભલામણ કરવામાં આવે છે. તે જ લેખક દ્વારા અન્ય વિકાસ માટે સંસ્કરણોને ઠીક કરવાની પણ ભલામણ કરવામાં આવે છે જેણે 41 પેકેજો જાળવ્યા હતા. સમાન લેખક (js-queue, easy-stack, js-message, event-pubsub) દ્વારા જાળવવામાં આવેલા કેટલાક પેકેજો દર અઠવાડિયે લગભગ એક મિલિયન ડાઉનલોડ્સ ધરાવે છે.

ઉમેરણ: વિવિધ ખુલ્લા પેકેજોમાં ક્રિયાઓ ઉમેરવા માટેના અન્ય પ્રયાસો રેકોર્ડ કરવામાં આવ્યા છે જે એપ્લિકેશનની સીધી કાર્યક્ષમતા સાથે સંબંધિત નથી અને IP સરનામાઓ અથવા સિસ્ટમ લોકેલ સાથે જોડાયેલા છે. આ ફેરફારોમાંથી સૌથી હાનિકારક (es5-ext, rete, PHP કંપોઝર, PHPUnit, Redis ડેસ્કટોપ મેનેજર, અદ્ભુત પ્રોમિથિયસ ચેતવણીઓ, વર્ડાસીયો, ફાઇલસ્ટેશ) રશિયા અને બેલારુસના વપરાશકર્તાઓ માટે યુદ્ધ સમાપ્ત કરવા માટેના કૉલ્સ પ્રદર્શિત કરવા માટે ઉકળે છે. તે જ સમયે, વધુ ખતરનાક અભિવ્યક્તિઓ પણ ઓળખવામાં આવે છે, ઉદાહરણ તરીકે, AWS ટેરાફોર્મ મોડ્યુલ્સ પેકેજોમાં એન્ક્રિપ્ટર ઉમેરવામાં આવ્યું હતું અને લાયસન્સમાં રાજકીય પ્રતિબંધો દાખલ કરવામાં આવ્યા હતા. ESP8266 અને ESP32 ઉપકરણો માટે Tasmota ફર્મવેરમાં બિલ્ટ-ઇન બુકમાર્ક છે જે ઉપકરણોના સંચાલનને અવરોધિત કરી શકે છે. એવું માનવામાં આવે છે કે આવી પ્રવૃત્તિ ઓપન સોર્સ સૉફ્ટવેર પરના વિશ્વાસને ગંભીરપણે નબળી પાડી શકે છે.

સોર્સ: opennet.ru

એક ટિપ્પણી ઉમેરો જવાબ રદ