ನೋಡ್-ಐಪಿಸಿ NPM ಪ್ಯಾಕೇಜ್ನಲ್ಲಿ (CVE-2022-23812) ದುರುದ್ದೇಶಪೂರಿತ ಬದಲಾವಣೆಯನ್ನು ಪತ್ತೆಹಚ್ಚಲಾಗಿದೆ, 25% ಸಂಭವನೀಯತೆಯೊಂದಿಗೆ ಬರೆಯಲು ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುವ ಎಲ್ಲಾ ಫೈಲ್ಗಳ ವಿಷಯಗಳನ್ನು "❤️" ಅಕ್ಷರದೊಂದಿಗೆ ಬದಲಾಯಿಸಲಾಗುತ್ತದೆ. ರಷ್ಯಾ ಅಥವಾ ಬೆಲಾರಸ್ನಿಂದ IP ವಿಳಾಸಗಳೊಂದಿಗೆ ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ ಪ್ರಾರಂಭಿಸಿದಾಗ ಮಾತ್ರ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ. ನೋಡ್-ಐಪಿಸಿ ಪ್ಯಾಕೇಜ್ ವಾರಕ್ಕೆ ಸುಮಾರು ಒಂದು ಮಿಲಿಯನ್ ಡೌನ್ಲೋಡ್ಗಳನ್ನು ಹೊಂದಿದೆ ಮತ್ತು ವ್ಯೂ-ಕ್ಲೈ ಸೇರಿದಂತೆ 354 ಪ್ಯಾಕೇಜ್ಗಳ ಮೇಲೆ ಅವಲಂಬನೆಯಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ. ನೋಡ್-ಐಪಿಸಿಯನ್ನು ಅವಲಂಬನೆಯಾಗಿ ಹೊಂದಿರುವ ಎಲ್ಲಾ ಯೋಜನೆಗಳು ಸಹ ಸಮಸ್ಯೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿವೆ.
ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ನೋಡ್-ಐಪಿಸಿ 10.1.1 ಮತ್ತು 10.1.2 ಬಿಡುಗಡೆಗಳ ಭಾಗವಾಗಿ NPM ರೆಪೊಸಿಟರಿಗೆ ಪೋಸ್ಟ್ ಮಾಡಲಾಗಿದೆ. 11 ದಿನಗಳ ಹಿಂದೆ ಯೋಜನೆಯ ಲೇಖಕರ ಪರವಾಗಿ ಯೋಜನೆಯ Git ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಬದಲಾವಣೆಯನ್ನು ಪೋಸ್ಟ್ ಮಾಡಲಾಗಿದೆ. api.ipgeolocation.io ಸೇವೆಗೆ ಕರೆ ಮಾಡುವ ಮೂಲಕ ಕೋಡ್ನಲ್ಲಿ ದೇಶವನ್ನು ನಿರ್ಧರಿಸಲಾಗಿದೆ. ದುರುದ್ದೇಶಪೂರಿತ ಎಂಬೆಡ್ನಿಂದ ipgeolocation.io API ಗೆ ಪ್ರವೇಶಿಸಿದ ಕೀಯನ್ನು ಈಗ ಹಿಂತೆಗೆದುಕೊಳ್ಳಲಾಗಿದೆ.
ಸಂಶಯಾಸ್ಪದ ಕೋಡ್ ಗೋಚರಿಸುವಿಕೆಯ ಬಗ್ಗೆ ಎಚ್ಚರಿಕೆಯ ಕಾಮೆಂಟ್ಗಳಲ್ಲಿ, ಯೋಜನೆಯ ಲೇಖಕರು ಬದಲಾವಣೆಯು ಡೆಸ್ಕ್ಟಾಪ್ಗೆ ಫೈಲ್ ಅನ್ನು ಸೇರಿಸುವುದಕ್ಕೆ ಸಮನಾಗಿರುತ್ತದೆ ಎಂದು ಹೇಳಿದ್ದಾರೆ, ಅದು ಶಾಂತಿಗಾಗಿ ಕರೆ ಮಾಡುವ ಸಂದೇಶವನ್ನು ಪ್ರದರ್ಶಿಸುತ್ತದೆ. ವಾಸ್ತವವಾಗಿ, ಕೋಡ್ ಎದುರಾದ ಎಲ್ಲಾ ಫೈಲ್ಗಳನ್ನು ಓವರ್ರೈಟ್ ಮಾಡುವ ಪ್ರಯತ್ನದೊಂದಿಗೆ ಡೈರೆಕ್ಟರಿಗಳ ಪುನರಾವರ್ತಿತ ಹುಡುಕಾಟವನ್ನು ನಡೆಸಿತು.
node-ipc 11.0.0 ಮತ್ತು 11.1.0 ರ ಬಿಡುಗಡೆಗಳನ್ನು ನಂತರ NPM ರೆಪೊಸಿಟರಿಗೆ ಪೋಸ್ಟ್ ಮಾಡಲಾಯಿತು, ಇದು ಅಂತರ್ನಿರ್ಮಿತ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಬಾಹ್ಯ ಅವಲಂಬನೆಯೊಂದಿಗೆ ಬದಲಾಯಿಸಿತು, "peacenotwar" ಅನ್ನು ಅದೇ ಲೇಖಕರಿಂದ ನಿಯಂತ್ರಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಪ್ಯಾಕೇಜ್ ನಿರ್ವಾಹಕರು ಸೇರಿಸಲು ಬಯಸುತ್ತಾರೆ. ಪ್ರತಿಭಟನೆಯಲ್ಲಿ ಸೇರಲು. ಪೀಸ್ನೋಟ್ವಾರ್ ಪ್ಯಾಕೇಜ್ ಶಾಂತಿಯ ಬಗ್ಗೆ ಸಂದೇಶವನ್ನು ಮಾತ್ರ ಪ್ರದರ್ಶಿಸುತ್ತದೆ ಎಂದು ಹೇಳಲಾಗಿದೆ, ಆದರೆ ಲೇಖಕರು ಈಗಾಗಲೇ ತೆಗೆದುಕೊಂಡ ಕ್ರಮಗಳನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಂಡು, ಪ್ಯಾಕೇಜ್ನ ಮುಂದಿನ ವಿಷಯಗಳು ಅನಿರೀಕ್ಷಿತವಾಗಿರುತ್ತವೆ ಮತ್ತು ವಿನಾಶಕಾರಿ ಬದಲಾವಣೆಗಳ ಅನುಪಸ್ಥಿತಿಯು ಖಾತರಿಪಡಿಸುವುದಿಲ್ಲ.
ಅದೇ ಸಮಯದಲ್ಲಿ, Vue.js ಪ್ರಾಜೆಕ್ಟ್ನಿಂದ ಬಳಸಲಾಗುವ ಸ್ಥಿರ ನೋಡ್-ಐಪಿಸಿ 9.2.2 ಶಾಖೆಗೆ ನವೀಕರಣವನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲಾಯಿತು. ಹೊಸ ಬಿಡುಗಡೆಯಲ್ಲಿ, ಪೀಸ್ನೋಟ್ವಾರ್ ಜೊತೆಗೆ, ಬಣ್ಣಗಳ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಅವಲಂಬನೆಗಳ ಪಟ್ಟಿಗೆ ಸೇರಿಸಲಾಯಿತು, ಇದರ ಲೇಖಕರು ಜನವರಿಯಲ್ಲಿ ಕೋಡ್ಗೆ ವಿನಾಶಕಾರಿ ಬದಲಾವಣೆಗಳನ್ನು ಸಂಯೋಜಿಸಿದ್ದಾರೆ. ಹೊಸ ಬಿಡುಗಡೆಯ ಮೂಲ ಪರವಾನಗಿಯನ್ನು MIT ಯಿಂದ DBAD ಗೆ ಬದಲಾಯಿಸಲಾಗಿದೆ.
ಲೇಖಕರ ಮುಂದಿನ ಕ್ರಮಗಳು ಅನಿರೀಕ್ಷಿತವಾಗಿರುವುದರಿಂದ, ಆವೃತ್ತಿ 9.2.1 ನಲ್ಲಿ ಅವಲಂಬನೆಗಳನ್ನು ಸರಿಪಡಿಸಲು ನೋಡ್-ಐಪಿಸಿ ಬಳಕೆದಾರರಿಗೆ ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ. 41 ಪ್ಯಾಕೇಜುಗಳನ್ನು ನಿರ್ವಹಿಸಿದ ಅದೇ ಲೇಖಕರಿಂದ ಇತರ ಬೆಳವಣಿಗೆಗಳಿಗಾಗಿ ಆವೃತ್ತಿಗಳನ್ನು ಸರಿಪಡಿಸಲು ಸಹ ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ. ಅದೇ ಲೇಖಕರಿಂದ ನಿರ್ವಹಿಸಲ್ಪಡುವ ಕೆಲವು ಪ್ಯಾಕೇಜ್ಗಳು (js-ಕ್ಯೂ, ಈಸಿ-ಸ್ಟ್ಯಾಕ್, js-ಸಂದೇಶ, ಈವೆಂಟ್-ಪಬ್ಸಬ್) ವಾರಕ್ಕೆ ಸುಮಾರು ಒಂದು ಮಿಲಿಯನ್ ಡೌನ್ಲೋಡ್ಗಳನ್ನು ಹೊಂದಿವೆ.
ಸೇರ್ಪಡೆ: ಅಪ್ಲಿಕೇಶನ್ಗಳ ನೇರ ಕಾರ್ಯನಿರ್ವಹಣೆಗೆ ಸಂಬಂಧಿಸದ ಮತ್ತು IP ವಿಳಾಸಗಳು ಅಥವಾ ಸಿಸ್ಟಮ್ ಲೊಕೇಲ್ಗೆ ಸಂಬಂಧಿಸಿರುವ ವಿವಿಧ ತೆರೆದ ಪ್ಯಾಕೇಜ್ಗಳಿಗೆ ಕ್ರಿಯೆಗಳನ್ನು ಸೇರಿಸಲು ಇತರ ಪ್ರಯತ್ನಗಳನ್ನು ದಾಖಲಿಸಲಾಗಿದೆ. ಈ ಬದಲಾವಣೆಗಳಲ್ಲಿ ಅತ್ಯಂತ ನಿರುಪದ್ರವ (es5-ext, rete, PHP ಸಂಯೋಜಕ, PHPUnit, Redis ಡೆಸ್ಕ್ಟಾಪ್ ಮ್ಯಾನೇಜರ್, ಅದ್ಭುತ ಪ್ರಮೀತಿಯಸ್ ಎಚ್ಚರಿಕೆಗಳು, ವರ್ಡಾಸಿಯೊ, ಫೈಲ್ಸ್ಟಾಶ್) ರಷ್ಯಾ ಮತ್ತು ಬೆಲಾರಸ್ನಿಂದ ಬಳಕೆದಾರರಿಗೆ ಯುದ್ಧವನ್ನು ಕೊನೆಗೊಳಿಸಲು ಕರೆಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲು ಕುದಿಯುತ್ತವೆ. ಅದೇ ಸಮಯದಲ್ಲಿ, ಹೆಚ್ಚು ಅಪಾಯಕಾರಿ ಅಭಿವ್ಯಕ್ತಿಗಳನ್ನು ಸಹ ಗುರುತಿಸಲಾಗಿದೆ, ಉದಾಹರಣೆಗೆ, AWS ಟೆರಾಫಾರ್ಮ್ ಮಾಡ್ಯೂಲ್ಗಳ ಪ್ಯಾಕೇಜ್ಗಳಿಗೆ ಎನ್ಕ್ರಿಪ್ಟರ್ ಅನ್ನು ಸೇರಿಸಲಾಗಿದೆ ಮತ್ತು ಪರವಾನಗಿಯಲ್ಲಿ ರಾಜಕೀಯ ನಿರ್ಬಂಧಗಳನ್ನು ಪರಿಚಯಿಸಲಾಗಿದೆ. ESP8266 ಮತ್ತು ESP32 ಸಾಧನಗಳಿಗೆ Tasmota ಫರ್ಮ್ವೇರ್ ಅಂತರ್ನಿರ್ಮಿತ ಬುಕ್ಮಾರ್ಕ್ ಅನ್ನು ಹೊಂದಿದ್ದು ಅದು ಸಾಧನಗಳ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ನಿರ್ಬಂಧಿಸಬಹುದು. ಅಂತಹ ಚಟುವಟಿಕೆಯು ತೆರೆದ ಮೂಲ ಸಾಫ್ಟ್ವೇರ್ನಲ್ಲಿನ ನಂಬಿಕೆಯನ್ನು ಗಂಭೀರವಾಗಿ ದುರ್ಬಲಗೊಳಿಸಬಹುದು ಎಂದು ನಂಬಲಾಗಿದೆ.
ಮೂಲ: opennet.ru