node-ipc NPM パッケージ (CVE-2022-23812) で悪意のある変更が検出されました。25% の確率で、書き込みアクセスを持つすべてのファイルの内容が「❤️」文字に置き換えられます。 この悪意のあるコードは、ロシアまたはベラルーシの IP アドレスを持つシステムで起動された場合にのみアクティブになります。 node-ipc パッケージは週に約 354 万件のダウンロードがあり、vue-cli を含む XNUMX のパッケージの依存関係として使用されています。 依存関係としてnode-ipcを持つすべてのプロジェクトもこの問題の影響を受けます。
悪意のあるコードは、node-ipc 10.1.1 および 10.1.2 リリースの一部として NPM リポジトリに投稿されました。 11 日前、プロジェクトの作成者に代わって、悪意のある変更がプロジェクトの Git リポジトリに投稿されました。 国は、コード内で api.ipgeolocation.io サービスを呼び出すことによって決定されます。 悪意のある埋め込みから ipgeolocation.io API にアクセスされたキーは現在取り消されています。
疑わしいコードの出現に関する警告に対するコメントの中で、プロジェクトの作成者は、この変更は平和を求めるメッセージを表示するファイルをデスクトップに追加することに相当すると述べた。 実際、コードはディレクトリの再帰的検索を実行し、見つかったすべてのファイルを上書きしようとしました。
その後、node-ipc 11.0.0 および 11.1.0 のリリースが NPM リポジトリに投稿され、組み込みの悪意のあるコードが外部依存関係「peacenotwar」に置き換えられました。この依存関係は同じ作成者によって制御され、希望するパッケージ管理者によって含められるように提案されました。抗議活動に参加するために。 Peacenotwar パッケージには平和に関するメッセージのみが表示されると記載されていますが、作成者がすでに行ったアクションを考慮すると、パッケージのさらなる内容は予測できず、破壊的な変更がないことは保証されません。
同時に、Vue.js プロジェクトで使用される安定版の node-ipc 9.2.2 ブランチの更新がリリースされました。 新しいリリースでは、peacenotwar に加えて、colors パッケージも依存関係のリストに追加され、その作成者は XNUMX 月に破壊的な変更をコードに統合しました。 新しいリリースのソース ライセンスは MIT から DBAD に変更されました。
作成者の今後の行動は予測できないため、node-ipc ユーザーはバージョン 9.2.1 への依存関係を修正することをお勧めします。 41 個のパッケージを保守した同じ作成者による他の開発のバージョンを修正することも推奨されます。 同じ作成者によって管理されているパッケージの一部 (js-queue、easy-stack、js-message、event-pubsub) は、XNUMX 週間に約 XNUMX 万回ダウンロードされています。
追加: アプリケーションの直接の機能に関連せず、IP アドレスまたはシステム ロケールに関連付けられたさまざまなオープン パッケージにアクションを追加する他の試みが記録されています。 これらの変更 (es5-ext、rete、PHP Composer、PHPUnit、Redis Desktop Manager、Awesome Prometheus Alerts、verdaccio、filestash) のうち最も無害なものは、要約すると、ロシアとベラルーシのユーザーに対して戦争を終わらせるための呼び出しを表示することです。 同時に、より危険な兆候も特定されています。たとえば、AWS Terraform モジュール パッケージに暗号化機能が追加され、ライセンスに政治的制限が導入されました。 ESP8266 および ESP32 デバイス用の Tasmota ファームウェアには、デバイスの動作をブロックする可能性のあるブックマークが組み込まれています。 このような行為は、オープンソース ソフトウェアに対する信頼を著しく損なう可能性があると考えられています。
出所: オープンネット.ru