Node-ipc NPM pakotnē (CVE-2022-23812) tika konstatētas ļaunprātīgas izmaiņas, ar 25% iespējamību, ka visu failu saturs, kuriem ir rakstīšanas piekļuve, tiek aizstāts ar rakstzīmi “❤️”. Ļaunprātīgais kods tiek aktivizēts tikai tad, kad tas tiek palaists sistēmās ar IP adresēm no Krievijas vai Baltkrievijas. Node-ipc pakotnei ir aptuveni miljons lejupielāžu nedēļā, un tā tiek izmantota kā atkarība no 354 pakotnēm, ieskaitot vue-cli. Problēma ietekmē arī visus projektus, kuru atkarības ir mezgls-ipc.
Ļaunprātīgais kods tika ievietots NPM repozitorijā kā daļa no node-ipc 10.1.1 un 10.1.2 laidieniem. Pirms 11 dienām projekta autora vārdā projekta Git repozitorijā tika ievietotas ļaunprātīgas izmaiņas. Kodā valsts tika noteikta, izsaucot pakalpojumu api.ipgeolocation.io. Atslēga, kurai tika piekļūts ipgeolocation.io API no ļaunprātīgās iegulšanas, tagad ir atsaukta.
Komentāros pie brīdinājuma par apšaubāma koda parādīšanos projekta autors norādīja, ka izmaiņas nozīmē faila pievienošanu darbvirsmai, kas parāda ziņojumu, kas aicina uz mieru. Faktiski kods veica rekursīvu direktoriju meklēšanu, mēģinot pārrakstīt visus atrastos failus.
Node-ipc 11.0.0 un 11.1.0 laidieni vēlāk tika ievietoti NPM repozitorijā, kas iebūvēto ļaunprātīgo kodu aizstāja ar ārēju atkarību "peacenotwar", ko kontrolēja tas pats autors un piedāvāja iekļaut pakotņu uzturētājiem, kuri vēlas. pievienoties protestam. Tiek norādīts, ka peacenotwar paka tikai parāda vēstījumu par mieru, taču, ņemot vērā autora jau veiktās darbības, tālākais iepakojuma saturs ir neprognozējams un destruktīvu izmaiņu neesamība netiek garantēta.
Tajā pašā laikā tika izlaists stabilā node-ipc 9.2.2 filiāles atjauninājums, ko izmanto Vue.js projekts. Jaunajā laidienā papildus peacenotwar atkarību sarakstam tika pievienota arī krāsu pakotne, kuras autors janvārī integrēja destruktīvas izmaiņas kodā. Jaunā laidiena avota licence ir mainīta no MIT uz DBAD.
Tā kā autora turpmākās darbības ir neparedzamas, node-ipc lietotājiem ieteicams novērst atkarības no versijas 9.2.1. Ir arī ieteicams labot versijas citām izstrādēm, ko veicis tas pats autors, kurš uzturēja 41 pakotni. Dažas no viena autora uzturētajām pakotnēm (js-queue, easy-stack, js-message, event-pubsub) ir aptuveni miljons lejupielāžu nedēļā.
Papildinājums: ir reģistrēti arī citi mēģinājumi pievienot darbības dažādām atvērtām pakotnēm, kas nav saistītas ar lietojumprogrammu tiešo funkcionalitāti un ir saistītas ar IP adresēm vai sistēmas lokalizāciju. Visnekaitīgākās no šīm izmaiņām (es5-ext, rete, PHP komponists, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) izpaužas kā aicinājumi izbeigt karu lietotājiem no Krievijas un Baltkrievijas. Vienlaikus tiek konstatētas arī bīstamākas izpausmes, piemēram, AWS Terraform moduļu pakotnēm pievienots šifrētājs un licencē ieviesti politiski ierobežojumi. Tasmota programmaparatūrai ESP8266 un ESP32 ierīcēm ir iebūvēta grāmatzīme, kas var bloķēt ierīču darbību. Tiek uzskatīts, ka šāda darbība varētu nopietni iedragāt uzticību atvērtā pirmkoda programmatūrai.
Avots: opennet.ru