Perubahan berbahaya terdeteksi dalam paket NPM node-ipc (CVE-2022-23812), dengan kemungkinan 25% bahwa konten semua file yang memiliki akses tulis diganti dengan karakter “❤️”. Kode berbahaya hanya diaktifkan ketika diluncurkan pada sistem dengan alamat IP dari Rusia atau Belarus. Paket node-ipc memiliki sekitar satu juta unduhan per minggu dan digunakan sebagai dependensi pada 354 paket, termasuk vue-cli. Semua proyek yang memiliki node-ipc sebagai dependensi juga terpengaruh oleh masalah ini.
Kode berbahaya telah diposting ke repositori NPM sebagai bagian dari rilis node-ipc 10.1.1 dan 10.1.2. Perubahan berbahaya telah diposting ke repositori Git proyek atas nama penulis proyek 11 hari yang lalu. Negara ditentukan dalam kode dengan memanggil layanan api.ipgeolocation.io. Kunci yang diakses ke API ipgeolocation.io dari penyematan berbahaya kini telah dicabut.
Dalam komentar peringatan tentang munculnya kode yang meragukan, penulis proyek menyatakan bahwa perubahan tersebut berarti menambahkan file ke desktop yang menampilkan pesan yang menyerukan perdamaian. Faktanya, kode tersebut melakukan pencarian direktori secara rekursif dengan upaya untuk menimpa semua file yang ditemukan.
Rilis node-ipc 11.0.0 dan 11.1.0 kemudian diposting ke repositori NPM, yang menggantikan kode berbahaya bawaan dengan ketergantungan eksternal, “peacenotwar,” dikendalikan oleh penulis yang sama dan ditawarkan untuk dimasukkan oleh pengelola paket yang menginginkannya. untuk bergabung dalam protes tersebut. Dinyatakan bahwa paket Peacenotwar hanya menampilkan pesan tentang perdamaian, namun dengan mempertimbangkan tindakan yang telah diambil oleh penulis, maka isi paket selanjutnya tidak dapat diprediksi dan tidak dijamin tidak adanya perubahan yang merusak.
Pada saat yang sama, pembaruan untuk cabang stabil node-ipc 9.2.2, yang digunakan oleh proyek Vue.js, dirilis. Dalam rilis baru, selain Peacenotwar, paket warna juga ditambahkan ke daftar dependensi, yang pembuatnya mengintegrasikan perubahan destruktif ke dalam kode pada bulan Januari. Lisensi sumber untuk rilis baru telah diubah dari MIT menjadi DBAD.
Karena tindakan penulis selanjutnya tidak dapat diprediksi, pengguna node-ipc disarankan untuk memperbaiki dependensi pada versi 9.2.1. Disarankan juga untuk memperbaiki versi pengembangan lain dari penulis yang sama yang memelihara 41 paket. Beberapa paket yang dikelola oleh penulis yang sama (js-queue, easy-stack, js-message, event-pubsub) memiliki sekitar satu juta unduhan per minggu.
Tambahan: Upaya lain telah dicatat untuk menambahkan tindakan ke berbagai paket terbuka yang tidak terkait dengan fungsionalitas langsung aplikasi dan terkait dengan alamat IP atau lokal sistem. Perubahan yang paling tidak berbahaya (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) adalah menampilkan seruan untuk mengakhiri perang bagi pengguna dari Rusia dan Belarus. Pada saat yang sama, manifestasi yang lebih berbahaya juga diidentifikasi, misalnya, enkripsi ditambahkan ke paket modul AWS Terraform dan pembatasan politik diberlakukan pada lisensi. Firmware Tasmota untuk perangkat ESP8266 dan ESP32 memiliki bookmark bawaan yang dapat memblokir pengoperasian perangkat. Aktivitas semacam ini diyakini dapat merusak kepercayaan terhadap perangkat lunak sumber terbuka.
Sumber: opennet.ru