Rosszindulatú változást észleltünk a node-ipc NPM csomagban (CVE-2022-23812), 25%-os valószínűséggel, hogy az összes írási jogosultsággal rendelkező fájl tartalmát a „❤️” karakter helyettesíti. A rosszindulatú kód csak akkor aktiválódik, ha Oroszországból vagy Fehéroroszországból származó IP-címmel rendelkező rendszereken indítják el. A node-ipc csomagot körülbelül egymillióan töltik le hetente, és 354 csomag függőségeként használják, beleértve a vue-cli-t is. A probléma az összes olyan projektet is érinti, amelynek függősége a csomópont-ipc.
A rosszindulatú kód a node-ipc 10.1.1-es és 10.1.2-es kiadásának részeként került az NPM-lerakatba. 11 nappal ezelőtt egy rosszindulatú módosítást tettek közzé a projekt Git-tárában a projekt szerzője nevében. Az országot a kódban az api.ipgeolocation.io szolgáltatás hívásával határozták meg. Az ipgeolocation.io API-hoz a rosszindulatú beágyazásból elért kulcsot visszavonták.
A kétes kód megjelenésére vonatkozó figyelmeztetés megjegyzéseiben a projekt szerzője úgy nyilatkozott, hogy a változtatás egy olyan fájl hozzáadása az asztalhoz, amely egy békére hívó üzenetet jelenít meg. Valójában a kód rekurzív keresést hajtott végre a könyvtárak között, és megpróbálta felülírni az összes talált fájlt.
A node-ipc 11.0.0 és 11.1.0 kiadásait később közzétették az NPM-tárban, amely a beépített rosszindulatú kódot egy külső függőséggel, a „peacenotwarral” helyettesítette, amelyet ugyanaz a szerző irányított, és felajánlották a csomagkarbantartók számára hogy csatlakozzon a tiltakozáshoz. Állítások szerint a peacenotwar csomag csak a békéről szóló üzenetet jeleníti meg, de figyelembe véve a szerző által már megtett lépéseket, a csomag további tartalma kiszámíthatatlan, és nem garantált a romboló változások elmaradása.
Ezzel egy időben megjelent a stabil node-ipc 9.2.2 ág frissítése, amelyet a Vue.js projekt használ. Az új kiadásban a peacenotwar mellett a színek csomagja is felkerült a függőségek listájára, amelynek szerzője januárban destruktív változtatásokat integrált a kódba. Az új kiadás forráslicence MIT-ről DBAD-re módosult.
Mivel a szerző további lépései megjósolhatatlanok, a node-ipc felhasználóknak azt javasoljuk, hogy javítsák a 9.2.1-es verziótól való függőségeket. Javasoljuk továbbá, hogy a 41 csomagot karbantartó szerző más fejlesztéseihez is javítsa a verziókat. Az ugyanazon szerző által karbantartott csomagok némelyike (js-queue, easy-stack, js-message, event-pubsub) körülbelül egymillió letöltést ér el hetente.
Kiegészítés: Más kísérleteket is rögzítettek különböző nyitott csomagokhoz olyan műveletek hozzáadására, amelyek nem kapcsolódnak az alkalmazások közvetlen működéséhez, és IP-címekhez vagy rendszer területi beállításához kötődnek. E változtatások közül a legártalmatlanabbak (es5-ext, rete, PHP zeneszerző, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) abban merülnek fel, hogy az orosz és fehérorosz felhasználók számára a háború befejezését célzó felhívásokat jelenítsünk meg. Ugyanakkor veszélyesebb megnyilvánulásokat is azonosítanak, például titkosítót adtak az AWS Terraform moduljaihoz, és politikai korlátozásokat vezettek be a licencbe. Az ESP8266 és ESP32 eszközök Tasmota firmware-je beépített könyvjelzővel rendelkezik, amely blokkolhatja az eszközök működését. Úgy gondolják, hogy az ilyen tevékenység súlyosan alááshatja a nyílt forráskódú szoftverekbe vetett bizalmat.
Forrás: opennet.ru