Eng béiswëlleg Ännerung gouf am Node-ipc NPM Package (CVE-2022-23812) festgestallt, mat enger 25% Wahrscheinlechkeet datt d'Inhalter vun alle Dateien déi Schreifzougang hunn duerch de Charakter "❤️" ersat ginn. De béiswëlleg Code gëtt nëmme aktivéiert wann se op Systemer mat IP Adressen aus Russland oder Wäissrussland lancéiert ginn. Den Node-ipc Package huet ongeféier eng Millioun Downloads pro Woch a gëtt als Ofhängegkeet op 354 Packagen benotzt, dorënner vue-cli. All Projeten déi Node-ipc als Ofhängegkeeten hunn sinn och vum Problem betraff.
De béisaarteg Code gouf an den NPM Repository als Deel vun den Node-ipc 10.1.1 an 10.1.2 Verëffentlechungen gepost. Eng béiswëlleg Ännerung gouf am Git-Repository vum Projet am Numm vum Auteur vum Projet virun 11 Deeg gepost. D'Land gouf am Code bestëmmt andeems Dir den api.ipgeolocation.io Service urufft. De Schlëssel deen op d'ipgeolocation.io API vun der béiswëlleger Embed zougänglech war ass elo zréckgezunn.
An de Kommentaren op d'Warnung iwwer d'Erscheinung vum zweifelhafte Code, huet den Auteur vum Projet festgehalen datt d'Ännerung entsprécht fir eng Datei op den Desktop ze addéieren, deen e Message weist, deen de Fridden nennt. Tatsächlech huet de Code eng rekursiv Sich vu Verzeichnungen duerchgefouert mat engem Versuch all begéint Dateien ze iwwerschreiwe.
Verëffentlechungen vum Node-ipc 11.0.0 an 11.1.0 goufen spéider an den NPM Repository gepost, deen den agebaute béisaarteg Code mat enger externer Ofhängegkeet ersat huet, "peacenotwar", kontrolléiert vum selwechten Auteur a proposéiert fir Inklusioun vu Package Instandhalter ze wëllen. de Protest matzemaachen. Et gëtt uginn datt de peacenotwar Package nëmmen e Message iwwer Fridden weist, awer wann Dir d'Aktiounen berücksichtegt, déi den Auteur scho gemaach huet, sinn déi weider Inhalter vum Package onberechenbar an d'Feele vu zerstéierende Verännerungen ass net garantéiert.
Zur selwechter Zäit gouf en Update fir déi stabil Node-ipc 9.2.2 Branche, déi vum Vue.js Projet benotzt gëtt, verëffentlecht. An der neier Verëffentlechung, nieft dem Peacenotwar, gouf d'Faarwen och an d'Lëscht vun Ofhängegkeeten bäigefüügt, den Auteur vun deem destruktiv Ännerungen am Code am Januar integréiert hunn. D'Quelllizenz fir déi nei Verëffentlechung gouf vum MIT op DBAD geännert.
Zënter dem Autor seng weider Handlungen onberechenbar sinn, sinn Node-ipc Benotzer recommandéiert d'Ofhängegkeeten op Versioun 9.2.1 ze fixéieren. Et ass och recommandéiert Versioune fir aner Entwécklungen vum selwechten Auteur ze fixéieren deen 41 Packagen erhalen huet. E puer vun de Packagen, déi vum selwechten Auteur erhale sinn (js-queue, easy-stack, js-message, event-pubsub) hunn ongeféier eng Millioun Downloads pro Woch.
Zousatz: Aner Versuche goufen opgeholl fir Aktiounen op verschidde oppe Packagen ze addéieren, déi net mat der direkter Funktionalitéit vun Uwendungen verbonne sinn a mat IP Adressen oder Systemlokaler verbonne sinn. Déi harmlosst vun dësen Ännerungen (es5-ext, rete, PHP-Komponist, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) kachen erof fir Uriff ze weisen fir de Krich fir Benotzer aus Russland a Wäissrussland opzehalen. Zur selwechter Zäit ginn och méi geféierlech Manifestatiounen identifizéiert, zum Beispill gouf en Encryptor zu AWS Terraform Moduler Packagen bäigefüügt a politesch Restriktiounen goufen an d'Lizenz agefouert. Tasmota Firmware fir ESP8266 an ESP32 Apparater huet eng agebaut Lieszeeche datt d'Operatioun vun Apparater Spär kann. Et gëtt ugeholl datt esou Aktivitéiten d'Vertrauen an d'Open Source Software eescht ënnergruewen.
Source: opennet.ru