Aptiktas kenkėjiškas pakeitimas mazgo-ipc NPM pakete (CVE-2022-23812), su 25% tikimybe, kad visų failų, turinčių rašymo prieigą, turinys bus pakeistas simboliu „❤️“. Kenkėjiškas kodas suaktyvinamas tik paleidus sistemose su Rusijos ar Baltarusijos IP adresais. „Node-ipc“ paketas per savaitę atsisiunčiamas apie milijoną ir yra naudojamas kaip priklausomybė nuo 354 paketų, įskaitant „vue-cli“. Visi projektai, kurių priklausomybės yra mazgas-ipc, taip pat turi įtakos problemai.
Kenkėjiškas kodas buvo paskelbtas NPM saugykloje kaip node-ipc 10.1.1 ir 10.1.2 leidimų dalis. Prieš 11 dienų projekto autoriaus vardu projekto Git saugykloje buvo paskelbtas kenkėjiškas pakeitimas. Šalis buvo nustatyta kode paskambinus į api.ipgeolocation.io paslaugą. Raktas, prie kurio buvo prieiga prie ipgeolocation.io API iš kenkėjiško įterpimo, dabar atšauktas.
Komentaruose prie įspėjimo apie abejotino kodo atsiradimą projekto autorius teigė, kad pakeitimas prilygsta failo pridėjimui prie darbalaukio, kuriame rodomas pranešimas, raginantis laikytis taikos. Tiesą sakant, kodas atliko rekursinę katalogų paiešką, bandydamas perrašyti visus aptiktus failus.
Node-ipc 11.0.0 ir 11.1.0 leidimai vėliau buvo paskelbti NPM saugykloje, kuri pakeitė integruotą kenkėjišką kodą išorine priklausomybe, „peacenotwar“, kurią valdo tas pats autorius ir pasiūlė įtraukti paketų prižiūrėtojams, norintiems prisijungti prie protesto. Teigiama, kad „peakenotwar“ pakete rodoma tik žinutė apie taiką, tačiau atsižvelgiant į jau autoriaus veiksmus, tolesnis paketo turinys yra nenuspėjamas ir destruktyvių pokyčių nebuvimas negarantuojamas.
Tuo pačiu metu buvo išleistas stabilaus mazgo-ipc 9.2.2 šakos atnaujinimas, kurį naudoja projektas Vue.js. Naujojoje laidoje, be peacenotwar, į priklausomybių sąrašą buvo įtrauktas ir spalvų paketas, kurio autorius sausį į kodą integravo destruktyvius pakeitimus. Naujos leidimo šaltinio licencija pakeista iš MIT į DBAD.
Kadangi tolimesni autoriaus veiksmai yra nenuspėjami, node-ipc vartotojams rekomenduojama ištaisyti priklausomybes nuo 9.2.1 versijos. Taip pat rekomenduojama pataisyti kitų patobulinimų versijas to paties autoriaus, kuris prižiūrėjo 41 paketą. Kai kurie to paties autoriaus prižiūrimi paketai (js-queue, easy-stack, js-message, event-pubsub) per savaitę atsisiunčia apie milijoną.
Papildymas: buvo užregistruoti ir kiti bandymai pridėti veiksmus prie įvairių atvirų paketų, kurie nėra susiję su tiesioginiu programų funkcionalumu ir yra susieti su IP adresais arba sistemos lokale. Patys nekenksmingiausi iš šių pakeitimų (es5-ext, rete, PHP kompozitorius, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) susiveda į tai, kad Rusijos ir Baltarusijos vartotojams rodomi raginimai baigti karą. Kartu nustatomos ir pavojingesnės apraiškos, pavyzdžiui, į AWS Terraform modulių paketus buvo pridėtas šifratorius, į licenciją įvesti politiniai apribojimai. „Tasmota“ programinė įranga ESP8266 ir ESP32 įrenginiams turi įmontuotą žymę, kuri gali blokuoti įrenginių veikimą. Manoma, kad tokia veikla gali rimtai pakenkti pasitikėjimui atvirojo kodo programine įranga.
Šaltinis: opennet.ru