Skaðleg breyting fannst í hnút-ipc NPM pakkanum (CVE-2022-23812), með 25% líkum á að innihald allra skráa sem hafa skrifaðgang sé skipt út fyrir „❤️“ stafinn. Skaðlegi kóðinn er aðeins virkur þegar hann er ræstur á kerfum með IP-tölur frá Rússlandi eða Hvíta-Rússlandi. Node-ipc pakkinn hefur um milljón niðurhal á viku og er notaður sem háður 354 pakka, þar á meðal vue-cli. Öll verkefni sem hafa hnút-ipc sem ósjálfstæði verða einnig fyrir áhrifum af vandamálinu.
Skaðlegi kóðinn var settur á NPM geymsluna sem hluti af hnút-ipc 10.1.1 og 10.1.2 útgáfunum. Skaðleg breyting var sett á Git geymslu verkefnisins fyrir hönd höfundar verkefnisins fyrir 11 dögum. Landið var ákvarðað í kóðanum með því að hringja í api.ipgeolocation.io þjónustuna. Lykillinn sem var opnaður að ipgeolocation.io API frá illgjarnri innfellingu hefur nú verið afturkallaður.
Í athugasemdum við viðvörunina um útlit vafasams kóða sagði höfundur verkefnisins að breytingin jafngildi því að bæta skrá á skjáborðið sem birtir skilaboð sem kalla á frið. Reyndar framkvæmdi kóðinn endurkvæma leit í möppum með tilraun til að skrifa yfir allar skrár sem fundust.
Útgáfur af hnút-ipc 11.0.0 og 11.1.0 voru síðar settar á NPM geymsluna, sem kom í stað innbyggða illgjarna kóðans fyrir utanaðkomandi ósjálfstæði, „peacenotwar,“ stjórnað af sama höfundi og boðið upp á að pakkaviðhaldarar vildu það. að taka þátt í mótmælunum. Tekið er fram að peacenotwar pakkinn sýnir aðeins skilaboð um frið, en að teknu tilliti til þeirra aðgerða sem höfundur hefur þegar gripið til er frekari innihald pakkans ófyrirsjáanlegt og engin eyðileggjandi breytingar er ekki tryggt.
Á sama tíma var gefin út uppfærsla á stöðugu hnút-ipc 9.2.2 útibúinu, sem er notað af Vue.js verkefninu. Í nýju útgáfunni, auk peacenotwar, var litapakkanum einnig bætt við listann yfir ósjálfstæði, höfundur sem samþætti eyðileggjandi breytingar í kóðanum í janúar. Upprunaleyfinu fyrir nýju útgáfuna hefur verið breytt úr MIT í DBAD.
Þar sem frekari aðgerðir höfundar eru ófyrirsjáanlegar, er mælt með því að notendur hnút-ipc lagfærir ósjálfstæðin á útgáfu 9.2.1. Einnig er mælt með því að laga útgáfur fyrir aðra þróun eftir sama höfund sem hélt 41 pakka. Sumir pakkana sem sama höfundur heldur úti (js-queue, easy-stack, js-message, event-pubsub) hafa um milljón niðurhal á viku.
Viðbót: Aðrar tilraunir hafa verið skráðar til að bæta aðgerðum við ýmsa opna pakka sem tengjast ekki beinni virkni forrita og eru bundnar við IP tölur eða kerfisstaðsetningu. Skaðlausustu þessara breytinga (es5-ext, rete, PHP tónskáld, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) snýst um að birta símtöl til að binda enda á stríðið fyrir notendur frá Rússlandi og Hvíta-Rússlandi. Á sama tíma eru hættulegri birtingarmyndir einnig auðkenndar, til dæmis var dulkóðari bætt við AWS Terraform einingarpakka og pólitískar takmarkanir voru settar inn í leyfið. Tasmota vélbúnaðar fyrir ESP8266 og ESP32 tæki er með innbyggt bókamerki sem getur hindrað virkni tækja. Talið er að slík starfsemi gæti grafið verulega undan trausti á opnum hugbúnaði.
Heimild: opennet.ru