Node-ipc NPM փաթեթում (CVE-2022-23812) հայտնաբերվել է վնասակար փոփոխություն, 25% հավանականությամբ, որ գրելու հասանելիություն ունեցող բոլոր ֆայլերի բովանդակությունը փոխարինվի «❤️» գրանշանով։ Վնասակար կոդը ակտիվանում է միայն Ռուսաստանից կամ Բելառուսից IP հասցեներով համակարգերում գործարկվելիս: Node-ipc փաթեթն ունի մոտ մեկ միլիոն ներբեռնում շաբաթական և օգտագործվում է որպես կախվածություն 354 փաթեթներից, ներառյալ vue-cli-ն: Բոլոր նախագծերը, որոնք ունեն node-ipc որպես կախվածություն, նույնպես ազդում են խնդրից:
Վնասակար կոդը տեղադրվել է NPM պահեստում՝ որպես node-ipc 10.1.1 և 10.1.2 թողարկումների մաս: Նախագծի հեղինակի անունից 11 օր առաջ վնասակար փոփոխություն է տեղադրվել նախագծի Git պահոցում: Երկիրը որոշվել է կոդի մեջ՝ զանգահարելով api.ipgeolocation.io ծառայություն։ Բանալին, որին հասանելի էր ipgeolocation.io API-ն վնասակար ներկառուցումից, այժմ չեղարկվել է:
Կասկածելի կոդի ի հայտ գալու մասին նախազգուշացման մեկնաբանություններում նախագծի հեղինակը նշել է, որ փոփոխությունը կազմում է աշխատասեղանին ֆայլի ավելացում, որը ցույց է տալիս խաղաղության կոչ անող հաղորդագրություն: Փաստորեն, կոդը իրականացրել է ռեկուրսիվ որոնում դիրեկտորիաներում՝ փորձելով վերագրել հանդիպած բոլոր ֆայլերը:
Node-ipc 11.0.0-ի և 11.1.0-ի թողարկումները հետագայում տեղադրվեցին NPM պահոցում, որը ներկառուցված վնասակար ծածկագիրը փոխարինեց արտաքին կախվածությամբ՝ «peacenotwar»-ով, որը վերահսկվում է նույն հեղինակի կողմից և առաջարկվում է ներառել փաթեթի սպասարկողների կողմից, ովքեր ցանկանում են: միանալ բողոքի ակցիային։ Նշվում է, որ խաղաղության պատերազմի փաթեթը ցուցադրում է միայն խաղաղության մասին հաղորդագրություն, սակայն հաշվի առնելով հեղինակի կողմից արդեն իսկ ձեռնարկված գործողությունները, փաթեթի հետագա բովանդակությունն անկանխատեսելի է, իսկ կործանարար փոփոխությունների բացակայությունը երաշխավորված չէ։
Միաժամանակ թողարկվել է կայուն node-ipc 9.2.2 ճյուղի թարմացում, որն օգտագործվում է Vue.js նախագծի կողմից։ Նոր թողարկումում, ի լրումն խաղաղության, կախվածության ցանկում ավելացվել է նաև գույների փաթեթը, որի հեղինակը հունվարին կործանարար փոփոխություններ է ներառել կոդի մեջ։ Նոր թողարկման աղբյուրի լիցենզիան MIT-ից փոխվել է DBAD-ի:
Քանի որ հեղինակի հետագա գործողությունները անկանխատեսելի են, node-ipc օգտվողներին խորհուրդ է տրվում շտկել կախվածությունը 9.2.1 տարբերակից: Առաջարկվում է նաև ուղղել այլ մշակումների տարբերակները նույն հեղինակի կողմից, ով պահպանել է 41 փաթեթ: Նույն հեղինակի կողմից պահպանվող որոշ փաթեթներ (js-queue, easy-stack, js-message, event-pubsub) ունեն շաբաթական մոտ մեկ միլիոն ներբեռնումներ:
Հավելում. Արձանագրվել են տարբեր բաց փաթեթներում գործողություններ ավելացնելու այլ փորձեր, որոնք կապված չեն հավելվածների անմիջական ֆունկցիոնալության հետ և կապված են IP հասցեների կամ համակարգի տեղակայման հետ: Այս փոփոխություններից ամենաանվնասները (es5-ext, rete, PHP կոմպոզիտոր, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) հանգում են Ռուսաստանի և Բելառուսի օգտատերերի պատերազմը դադարեցնելու կոչերի ցուցադրմանը: Միևնույն ժամանակ, հայտնաբերվում են նաև ավելի վտանգավոր դրսևորումներ, օրինակ՝ AWS Terraform մոդուլների փաթեթներին ավելացվել է ծածկագրիչ և լիցենզիայի մեջ մտցվել են քաղաքական սահմանափակումներ։ ESP8266 և ESP32 սարքերի համար Tasmota որոնվածն ունի ներկառուցված էջանիշ, որը կարող է արգելափակել սարքերի աշխատանքը: Ենթադրվում է, որ նման գործունեությունը կարող է լրջորեն խաթարել վստահությունը բաց կոդով ծրագրային ապահովման նկատմամբ:
Source: opennet.ru