Otkrivena je zlonamjerna promjena u paketu node-ipc NPM (CVE-2022-23812), s 25% vjerojatnosti da se sadržaj svih datoteka koje imaju pristup za pisanje zamijeni znakom “❤️”. Zlonamjerni kod se aktivira samo kada se pokrene na sustavima s IP adresama iz Rusije ili Bjelorusije. Paket node-ipc ima oko milijun preuzimanja tjedno i koristi se kao ovisnost o 354 paketa, uključujući vue-cli. Svi projekti koji imaju node-ipc kao ovisnosti također su pogođeni problemom.
Zlonamjerni kod je objavljen u NPM repozitoriju kao dio izdanja node-ipc 10.1.1 i 10.1.2. Zlonamjerna promjena objavljena je u Git repozitoriju projekta u ime autora projekta prije 11 dana. Država je u kodu određena pozivom servisa api.ipgeolocation.io. Ključ kojem se pristupilo API-ju ipgeolocation.io iz zlonamjernog ugrađivanja sada je opozvan.
U komentarima na upozorenje o pojavi sumnjivog koda, autor projekta je naveo da se promjena svodi na dodavanje datoteke na radnu površinu koja prikazuje poruku koja poziva na mir. Zapravo, kod je izvršio rekurzivno pretraživanje direktorija s pokušajem da prebriše sve datoteke na koje je naišao.
Izdanja node-ipc 11.0.0 i 11.1.0 kasnije su objavljena u NPM spremištu, koja su zamijenila ugrađeni zlonamjerni kod s vanjskom ovisnošću, "peacenotwar", koju kontrolira isti autor i ponuđena za uključivanje održavateljima paketa koji žele pridružiti se prosvjedu. Navedeno je da mirovni paket prikazuje samo poruku o miru, ali uzimajući u obzir radnje koje je autor već poduzeo, daljnji sadržaj paketa je nepredvidiv i nije zajamčeno odsustvo destruktivnih promjena.
Istovremeno je objavljeno ažuriranje stabilne grane node-ipc 9.2.2 koju koristi projekt Vue.js. U novom izdanju, osim peacenotwar-a, na listu ovisnosti dodan je i color package čiji je autor u siječnju integrirao destruktivne promjene u kod. Izvorna licenca za novo izdanje promijenjena je iz MIT u DBAD.
Budući da su daljnje radnje autora nepredvidive, korisnicima node-ipc-a preporučuje se da poprave ovisnosti o verziji 9.2.1. Također se preporučuje popraviti verzije za druge razvoje istog autora koji je održavao 41 paket. Neki od paketa koje održava isti autor (js-queue, easy-stack, js-message, event-pubsub) imaju oko milijun preuzimanja tjedno.
Dodatak: Zabilježeni su i drugi pokušaji dodavanja radnji različitim otvorenim paketima koji nisu povezani s izravnom funkcionalnošću aplikacija i vezani su uz IP adrese ili lokalizaciju sustava. Najbezazlenije od ovih promjena (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) svode se na prikazivanje poziva za prekid rata za korisnike iz Rusije i Bjelorusije. Istodobno se identificiraju i opasnije manifestacije, na primjer, paketima modula AWS Terraform dodan je kriptor i u licencu su uvedena politička ograničenja. Tasmota firmware za ESP8266 i ESP32 uređaje ima ugrađenu oznaku koja može blokirati rad uređaja. Vjeruje se da bi takva aktivnost mogla ozbiljno narušiti povjerenje u softver otvorenog koda.
Izvor: opennet.ru