Node-ipc NPM бумасында (CVE-2022-23812) зиянды өзгерту анықталды, жазуға рұқсаты бар барлық файлдардың мазмұны "❤️" таңбасымен ауыстырылуының 25% ықтималдығы бар. Зиянды код Ресейден немесе Беларусьтен IP мекенжайлары бар жүйелерде іске қосылғанда ғана іске қосылады. Node-ipc бумасы аптасына миллионға жуық жүктеп алынады және vue-cli қоса алғанда 354 бумаға тәуелділік ретінде пайдаланылады. Тәуелділік ретінде node-ipc бар барлық жобалар да мәселеге әсер етеді.
Зиянды код NPM репозиторийіне node-ipc 10.1.1 және 10.1.2 шығарылымдарының бөлігі ретінде орналастырылған. 11 күн бұрын жоба авторының атынан жобаның Git репозиторийіне зиянды өзгерту жарияланған. Ел api.ipgeolocation.io қызметіне қоңырау шалу арқылы кодта анықталды. Зиянды ендірілгеннен ipgeolocation.io API интерфейсіне қол жеткізілген кілт енді кері қайтарылды.
Күмәнді кодтың пайда болуы туралы ескертуге түсініктемелерде жоба авторы өзгеріс жұмыс үстеліне бейбітшілікке шақыратын хабарды көрсететін файлды қосуды білдіреді деп мәлімдеді. Шын мәнінде, код барлық кездесетін файлдарды қайта жазу әрекетімен каталогтарды рекурсивті іздеуді жүзеге асырды.
Node-ipc 11.0.0 және 11.1.0 шығарылымдары кейінірек NPM репозиторийіне орналастырылды, ол кірістірілген зиянды кодты сол автор басқаратын «peacenotwar» деген сыртқы тәуелділікке ауыстырды және пакетті қолдаушылардың қалауы бойынша қосуды ұсынды. наразылыққа қосылу. Бейбітшілік соғысы пакеті тек бейбітшілік туралы хабарламаны көрсетеді, бірақ автор жасаған әрекеттерді ескере отырып, пакеттің одан әрі мазмұнын болжау мүмкін емес және деструктивті өзгерістердің болмауына кепілдік берілмейді.
Сонымен қатар, Vue.js жобасы пайдаланатын тұрақты node-ipc 9.2.2 тармағына жаңарту шығарылды. Жаңа шығарылымда, бейбітшілік соғысынан басқа, түстер пакеті де тәуелділіктер тізіміне қосылды, оның авторы қаңтарда кодқа деструктивті өзгерістер енгізді. Жаңа шығарылымның бастапқы лицензиясы MIT-тен DBAD-қа өзгертілді.
Автордың келесі әрекеттерін болжау мүмкін емес болғандықтан, node-ipc пайдаланушыларына 9.2.1 нұсқасына тәуелділіктерді түзету ұсынылады. Сондай-ақ 41 буманы қолдаған сол автордың басқа әзірлемелерге арналған нұсқаларын түзету ұсынылады. Бір автор жүргізетін кейбір пакеттер (js-queue, easy-stack, js-message, event-pubsub) аптасына миллионға жуық жүктеп алады.
Қосымша: қолданбалардың тікелей функционалдық мүмкіндіктеріне қатысы жоқ және IP мекенжайларына немесе жүйелік тілге байланысты әртүрлі ашық бумаларға әрекеттерді қосудың басқа әрекеттері жазылды. Осы өзгерістердің ең зиянсыздары (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) Ресей мен Беларусь пайдаланушылары үшін соғысты тоқтатуға шақыруларды көрсетуге дейін барады. Сонымен қатар аса қауіпті көріністер де анықталды, мысалы, AWS Terraform модульдерінің пакеттеріне шифрлағыш қосылды және лицензияға саяси шектеулер енгізілді. ESP8266 және ESP32 құрылғыларына арналған Tasmota микробағдарламасында құрылғылардың жұмысын блоктай алатын кірістірілген бетбелгі бар. Мұндай әрекет ашық бастапқы бағдарламалық жасақтамаға деген сенімді әлсіретуі мүмкін деп саналады.
Ақпарат көзі: opennet.ru