Skaðleg breyting fannst í hnút-ipc NPM pakkanum (CVE-2022-23812), með 25% líkum á að innihald allra skráa sem hafa skrifaðgang sé skipt út fyrir „❤️“ stafinn. Skaðlegi kóðinn er aðeins virkur þegar hann er ræstur á kerfum með IP-tölur frá Rússlandi eða Hvíta-Rússlandi. Node-ipc pakkinn hefur um milljón niðurhal á viku og er notaður sem háður 354 pakka, þar á meðal vue-cli. Öll verkefni sem hafa hnút-ipc sem ósjálfstæði verða einnig fyrir áhrifum af vandamálinu.
Skaðlegi kóðinn var settur á NPM geymsluna sem hluti af hnút-ipc 10.1.1 og 10.1.2 útgáfunum. Skaðleg breyting var sett á Git geymslu verkefnisins fyrir hönd höfundar verkefnisins fyrir 11 dögum. Landið var ákvarðað í kóðanum með því að hringja í api.ipgeolocation.io þjónustuna. Lykillinn sem var opnaður að ipgeolocation.io API frá illgjarnri innfellingu hefur nú verið afturkallaður.
Í athugasemdum við viðvörunina um útlit vafasams kóða sagði höfundur verkefnisins að breytingin jafngildi því að bæta skrá á skjáborðið sem birtir skilaboð sem kalla á frið. Reyndar framkvæmdi kóðinn endurkvæma leit í möppum með tilraun til að skrifa yfir allar skrár sem fundust.
Útgáfur af hnút-ipc 11.0.0 og 11.1.0 voru síðar settar á NPM geymsluna, sem kom í stað innbyggða illgjarna kóðans fyrir utanaðkomandi ósjálfstæði, „peacenotwar,“ stjórnað af sama höfundi og boðið upp á að pakkaviðhaldarar vildu það. að taka þátt í mótmælunum. Tekið er fram að peacenotwar pakkinn sýnir aðeins skilaboð um frið, en að teknu tilliti til þeirra aðgerða sem höfundur hefur þegar gripið til er frekari innihald pakkans ófyrirsjáanlegt og engin eyðileggjandi breytingar er ekki tryggt.
Á sama tíma var gefin út uppfærsla á stöðugu hnút-ipc 9.2.2 útibúinu, sem er notað af Vue.js verkefninu. Í nýju útgáfunni, auk peacenotwar, var litapakkanum einnig bætt við listann yfir ósjálfstæði, höfundur sem samþætti eyðileggjandi breytingar í kóðanum í janúar. Upprunaleyfinu fyrir nýju útgáfuna hefur verið breytt úr MIT í DBAD.
Þar sem frekari aðgerðir höfundar eru ófyrirsjáanlegar, er mælt með því að notendur hnút-ipc lagfærir ósjálfstæðin á útgáfu 9.2.1. Einnig er mælt með því að laga útgáfur fyrir aðra þróun eftir sama höfund sem hélt 41 pakka. Sumir pakkana sem sama höfundur heldur úti (js-queue, easy-stack, js-message, event-pubsub) hafa um milljón niðurhal á viku.
Viðbót: Aðrar tilraunir til að bæta við aðgerðum í ýmsa opna pakka sem tengjast ekki beinum virkni forrita og eru tengdir IP-tölur eða kerfisstaðsetningin. Sú skaðlausasta af þessum breytingum (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) snýst aðallega um að birta köll til að binda enda á stríðið fyrir notendur í Rússlandi og Hvíta-Rússlandi. Hins vegar hafa einnig verið greindar hættulegri birtingarmyndir, svo sem ransomware bætt við AWS Terraform einingar og pólitískar takmarkanir bættar við leyfið. Tasmota vélbúnaðarforrit fyrir ESP8266 og ESP32 tæki inniheldur bakdyr sem geta lokað fyrir virkni tækja. Slík starfsemi er talin grafa alvarlega undan trausti á opnum hugbúnaði.
Heimild: opennet.ru
