Ua ʻike ʻia kahi hoʻololi ʻino i loko o ka pūʻolo NPM node-ipc (CVE-2022-23812), me ka 25% o ka manaʻo e hoʻololi ʻia nā ʻike o nā faila a pau i loaʻa ke komo kākau me ke ʻano "❤️". Hoʻohana ʻia ka code malicious i ka wā i hoʻokuʻu ʻia ma nā ʻōnaehana me nā helu IP mai Russia a Belarus paha. ʻO ka pūʻolo node-ipc ma kahi o hoʻokahi miliona mau hoʻoiho i kēlā me kēia pule a hoʻohana ʻia ma ke ʻano he hilinaʻi ma nā pūʻulu 354, me ka vue-cli. ʻO nā papahana āpau i loaʻa ka node-ipc ma ke ʻano he hilinaʻi e pili pū ʻia e ka pilikia.
Ua kau ʻia ka code malicious i ka waihona NPM ma ke ʻano he ʻāpana o ka node-ipc 10.1.1 a me 10.1.2 hoʻokuʻu. Ua kau ʻia kahi hoʻololi ʻino i ka waihona Git o ka papahana ma ka inoa o ka mea kākau o ka papahana 11 mau lā aku nei. Ua hoʻoholo ʻia ka ʻāina ma ke code ma ke kāhea ʻana i ka lawelawe api.ipgeolocation.io. Ua hoʻopau ʻia ke kī i loaʻa i ka ipgeolocation.io API mai ka hoʻopili ʻino.
Ma nā ʻōlelo i ka ʻōlelo aʻo e pili ana i ke ʻano o nā code dubious, ua ʻōlelo ka mea kākau o ka papahana e hoʻololi ka hoʻololi i ka hoʻohui ʻana i kahi faila i ka papa kuhikuhi e hōʻike ana i kahi leka e kāhea ana i ka maluhia. ʻO ka ʻoiaʻiʻo, ua hoʻokō ke code i kahi hulina recursive o nā papa kuhikuhi me ka hoʻāʻo e kākau i nā faila āpau i loaʻa.
Ua hoʻokuʻu ʻia nā hoʻokuʻu ʻana o ka node-ipc 11.0.0 a me 11.1.0 i ka waihona NPM, kahi i pani ai i ka code malicious i kūkulu ʻia me kahi hilinaʻi o waho, "peacenotwar," i hoʻomalu ʻia e ka mea kākau like a hāʻawi ʻia no ka hoʻokomo ʻia ʻana e nā mea mālama pūʻulu makemake. e hui pu me ke kue. Ua ʻōlelo ʻia ʻo ka peacenotwar package e hōʻike wale ana i kahi leka e pili ana i ka maluhia, akā me ka noʻonoʻo ʻana i nā hana i hana ʻia e ka mea kākau, ʻaʻole i manaʻo ʻia nā mea hou aʻe o ka pōʻai a ʻaʻole i hōʻoia ʻia ka nele o nā hoʻololi luku.
I ka manawa like, ua hoʻokuʻu ʻia kahi mea hou i ka lālā paʻa node-ipc 9.2.2, i hoʻohana ʻia e ka papahana Vue.js. I ka hoʻokuʻu hou, ma kahi o ka peacenotwar, ua hoʻohui pū ʻia ka pūʻulu kala i ka papa inoa o nā hilinaʻi, ka mea kākau i hoʻohui i nā loli luku i loko o ke code ma Ianuali. Ua hoʻololi ʻia ka laikini kumu no ka hoʻokuʻu hou ʻana mai MIT i DBAD.
Ma muli o ka hiki ʻole o nā hana hou a ka mea kākau, ʻōlelo ʻia nā mea hoʻohana node-ipc e hoʻoponopono i nā hilinaʻi ma ka mana 9.2.1. Manaʻo ʻia e hoʻoponopono i nā mana no nā hoʻomohala ʻē aʻe e ka mea kākau hoʻokahi nāna i mālama i nā pūʻolo 41. ʻO kekahi o nā pūʻolo i mālama ʻia e ka mea kākau like (js-queue, easy-stack, js-message, event-pubsub) ma kahi o hoʻokahi miliona mau hoʻoiho i kēlā me kēia pule.
Hoʻohui: Ua hoʻopaʻa ʻia nā hoʻāʻo ʻē aʻe e hoʻohui i nā hana i nā ʻāpana hāmama like ʻole i pili ʻole i ka hana pololei o nā noi a ua hoʻopaʻa ʻia i nā helu IP a i ʻole ka ʻōnaehana pūnaewele. ʻO ka mea pōʻino loa o kēia mau hoʻololi (es5-ext, rete, PHP haku mele, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) e hoʻolapalapa i ka hōʻike ʻana i nā kelepona e hoʻopau i ke kaua no nā mea hoʻohana mai Russia a me Belarus. I ka manawa like, ʻike ʻia nā hōʻike ʻoi aku ka weliweli, no ka laʻana, ua hoʻohui ʻia kahi encryptor i nā pūʻolo modula AWS Terraform a ua hoʻokomo ʻia nā palena politika i ka laikini. Loaʻa iā Tasmota firmware no nā polokalamu ESP8266 a me ESP32 kahi bookmark i kūkulu ʻia e hiki ke ālai i ka hana o nā polokalamu. Ke manaʻoʻiʻo nei e hiki ke hoʻohaʻahaʻa i ka hilinaʻi i ka polokalamu open source.
Source: opennet.ru