Node-ipc NPM пакетинде (CVE-2022-23812) зыяндуу өзгөртүү аныкталды, 25% ыктымалдык менен жазуу мүмкүнчүлүгү бар бардык файлдардын мазмуну "❤️" белгиси менен алмаштырылды. Зыяндуу код Россиядан же Белоруссиядан IP даректери бар системаларда ишке киргизилгенде гана иштетилет. Node-ipc топтому жумасына бир миллионго жакын жүктөлүп алынат жана 354 пакетке, анын ичинде vue-cliге көз карандылык катары колдонулат. Көз карандылык катары node-ipc бар бардык долбоорлор да көйгөйгө дуушар болушат.
Зыяндуу код NPM репозиторийине node-ipc 10.1.1 жана 10.1.2 чыгарылыштарынын бир бөлүгү катары жайгаштырылды. 11 күн мурун долбоордун авторунун атынан долбоордун Git репозиторийине зыяндуу өзгөртүү жарыяланган. Өлкө api.ipgeolocation.io кызматына чалып, коддо аныкталган. Зыяндуу кыстаруудан ipgeolocation.io API'ге кирген ачкыч азыр жокко чыгарылды.
Долбоордун автору күмөндүү коддун пайда болушу жөнүндөгү эскертүүгө комментарийде өзгөртүү тынчтыкка чакырган билдирүүнү көрсөткөн иш тактасына файлды кошууга барабар экенин билдирген. Чынында, код бардык кездешкен файлдарды кайра жазуу аракети менен каталогдорду рекурсивдүү издөөнү жүргүзгөн.
Кийинчерээк node-ipc 11.0.0 жана 11.1.0 релиздери NPM репозиторийине жайгаштырылды, ал орнотулган зыяндуу кодду тышкы көз карандылыкка алмаштырды, ошол эле автор тарабынан башкарылган жана каалаган пакеттин тейлөөчүлөрү тарабынан киргизүүгө сунушталган "peacenotwar" нааразылык акциясына кошулуу. Белгиленгендей, тынчтык согушунун пакети тынчтык жөнүндө билдирүүнү гана көрсөтөт, бирок автор тарабынан буга чейин жасалган аракеттерди эске алуу менен, пакеттин андан аркы мазмуну күтүүсүз жана кыйратуучу өзгөрүүлөрдүн жоктугуна кепилдик берилбейт.
Ошол эле учурда, Vue.js долбоору тарабынан колдонулган туруктуу node-ipc 9.2.2 бутагына жаңыртуу чыгарылды. Жаңы чыгарылышта тынчтыктын согушунан тышкары, түстөр пакети да көз карандылыктын тизмесине кошулган, анын автору январь айында кодго кыйратуучу өзгөртүүлөрдү киргизген. Жаңы релиздин булак лицензиясы MITден DBADге өзгөртүлдү.
Автордун мындан аркы аракеттери күтүүсүз болгондуктан, node-ipc колдонуучуларына 9.2.1 версиясындагы көз карандылыкты оңдоо сунушталат. Ошондой эле 41 пакетти сактаган ошол эле автордун башка иштеп чыгуулар үчүн версияларын оңдоо сунушталат. Ошол эле автор тарабынан сакталган топтомдордун айрымдары (js-queue, easy-stack, js-message, event-pubsub) жумасына миллионго жакын жүктөлүп алынат.
Кошумча: Тиркемелердин түздөн-түз иштөөсүнө тиешеси жок жана IP даректерине же система локализациясына байланган ар кандай ачык пакеттерге аракеттерди кошууга башка аракеттер катталды. Бул өзгөртүүлөрдүн эң зыянсыздары (es5-ext, rete, PHP композитору, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) Россия менен Беларустун колдонуучулары үчүн согушту токтотуу үчүн чалууларды көрсөтүүгө чейин кайнайт. Ошол эле учурда дагы кооптуу көрүнүштөр аныкталды, мисалы, AWS Terraform модулдарынын пакеттерине шифрлөөчү кошулду жана лицензияга саясий чектөөлөр киргизилди. ESP8266 жана ESP32 түзмөктөрү үчүн Tasmota микропрограммасы түзмөктөрдүн иштешин бөгөттөй турган орнотулган кыстармаларга ээ. Мындай иш-аракеттер ачык булактуу программалык камсыздоого болгон ишенимди олуттуу түрдө бузат деп ишенишет.
Source: opennet.ru