Perubahan berbahaya (CVE-2022-23812) terdeteksi dalam paket NPM node-ipc. Paket ini memiliki peluang 25% untuk mengganti konten semua berkas dengan akses tulis dengan simbol "❤️". Kode berbahaya ini hanya aktif ketika dijalankan pada sistem dengan alamat IP di Rusia atau Belarus. Paket node-ipc diunduh sekitar satu juta kali per minggu dan digunakan sebagai dependensi oleh 354 paket, termasuk vue-cli. Semua proyek yang bergantung pada node-ipc juga terdampak.
Kode berbahaya tersebut disebarkan ke repositori NPM sebagai bagian dari node-ipc 10.1.1 dan 10.1.2. Perubahan berbahaya tersebut telah diunggah ke repositori Git proyek 11 hari yang lalu dengan nama pembuat proyek. Identifikasi negara dalam kode dilakukan dengan mengakses layanan api.ipgeolocation.io. Kunci yang digunakan untuk mengakses API ipgeolocation.io dari penyisipan berbahaya kini telah dicabut.
Dalam komentar peringatan tentang kode yang mencurigakan, penulis proyek mengklaim bahwa perubahan tersebut merupakan penambahan berkas ke desktop yang menampilkan pesan permintaan perdamaian. Kenyataannya, kode tersebut melakukan penelusuran direktori rekursif, mencoba menimpa semua berkas yang ditemukan.
Kemudian, node-ipc 11.0.0 dan 11.1.0 dirilis ke repositori NPM, menggantikan kode berbahaya yang tertanam dengan dependensi eksternal bernama "peacenotwar". Dependensi ini dikendalikan oleh pembuat yang sama dan ditawarkan untuk disertakan kepada pengelola paket yang ingin bergabung dalam protes. Paket peacenotwar diklaim hanya menampilkan pesan perdamaian, tetapi mengingat tindakan yang telah dilakukan oleh pembuatnya, isi paket di masa mendatang tidak dapat diprediksi dan tidak adanya perubahan yang merusak tidak dijamin.
Bersamaan dengan itu, pembaruan untuk cabang node-ipc 9.2.2 yang stabil, yang digunakan oleh proyek Vue.js, telah dirilis. Selain peacenotwar, rilis baru ini juga menambahkan paket colors ke dalam dependensinya. Pembuatnya mengintegrasikan perubahan destruktif ke dalam kode pada bulan Januari. Lisensi kode sumber untuk rilis baru ini diubah dari MIT menjadi DBAD.
Karena tindakan penulis di masa mendatang tidak dapat diprediksi, pengguna node-ipc disarankan untuk mengunci dependensi mereka ke versi 9.2.1. Mengunci versi juga disarankan untuk pengembangan lain oleh penulis yang sama, yang mengelola 41 paket. Beberapa paket yang dikelola oleh penulis yang sama (js-queue, easy-stack, js-message, event-pubsub) diunduh sekitar satu juta kali per minggu.
Tambahan: Upaya lain untuk menambahkan tindakan ke berbagai paket sumber terbuka yang tidak terkait dengan fungsionalitas langsung aplikasi dan terikat pada Alamat IP atau pengaturan lokal sistem. Perubahan yang paling tidak berbahaya (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) pada dasarnya hanya menampilkan seruan untuk mengakhiri perang bagi pengguna di Rusia dan Belarus. Namun, manifestasi yang lebih berbahaya juga telah diidentifikasi, seperti ransomware yang ditambahkan ke modul AWS Terraform dan pembatasan politik yang ditambahkan ke lisensi. Firmware Tasmota untuk perangkat ESP8266 dan ESP32 berisi backdoor yang mampu memblokir pengoperasian perangkat. Aktivitas semacam itu diyakini sangat merusak kepercayaan pada perangkat lunak sumber terbuka.
Sumber: opennet.ru
