Направена е злонамерна промена во пакетот node-ipc NPM кој ги брише датотеките на системите во Русија и Белорусија

Откриена е злонамерна промена во пакетот node-ipc NPM (CVE-2022-23812), со 25% веројатност содржината на сите датотеки што имаат пристап за запишување да се заменат со знакот „❤️“. Злонамерниот код се активира само кога се активира на системи со IP адреси од Русија или Белорусија. Пакетот node-ipc има околу милион преземања неделно и се користи како зависност од 354 пакети, вклучувајќи го и vue-cli. Сите проекти кои имаат node-ipc како зависност се исто така погодени од проблемот.

Злонамерниот код беше објавен во складиштето на NPM како дел од изданијата на node-ipc 10.1.1 и 10.1.2. Злонамерна промена беше објавена во складиштето Git на проектот во име на авторот на проектот пред 11 дена. Земјата беше одредена во кодот со повикување на услугата api.ipgeolocation.io. Клучот до кој беше пристапен до ipgeolocation.io API од злонамерното вградување сега е отповикан.

Во коментарите на предупредувањето за појавата на сомнителен код, авторот на проектот изјавил дека промената значи додавање датотека на работната површина која прикажува порака која повикува на мир. Всушност, кодот изврши рекурзивно пребарување на директориуми со обид да ги презапише сите датотеки што се сретнале.

Изданијата на node-ipc 11.0.0 и 11.1.0 подоцна беа објавени во складиштето NPM, кое го замени вградениот злонамерен код со надворешна зависност, „peacenotwar“, контролирана од истиот автор и понудена за вклучување од одржувачите на пакети кои сакаат да се приклучат на протестот. Се наведува дека пакетот мирновоен само прикажува порака за мир, но земајќи ги предвид веќе преземените активности од авторот, понатамошната содржина на пакетот е непредвидлива и отсуството на деструктивни промени не е загарантирано.

Во исто време, беше објавено ажурирање на стабилната гранка node-ipc 9.2.2, која се користи од проектот Vue.js. Во новото издание, покрај миротворната војна, на списокот на зависности беше додаден и пакетот бои, чиј автор во јануари интегрираше деструктивни промени во кодот. Изворната лиценца за новото издание е променета од MIT во DBAD.

Бидејќи понатамошните активности на авторот се непредвидливи, на корисниците на node-ipc им се препорачува да ги поправат зависностите од верзијата 9.2.1. Исто така, се препорачува да се поправат верзии за други случувања од истиот автор кој одржувал 41 пакет. Некои од пакетите што ги одржува истиот автор (js-queue, easy-stack, js-message, event-pubsub) имаат околу милион преземања неделно.

Дополнување: Забележани се и други обиди за додавање дејства на различни отворени пакети кои не се поврзани со директната функционалност на апликациите и се поврзани со IP адреси или системска локација. Најбезопасните од овие промени (es5-ext, rete, PHP композитор, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) се сведуваат на прикажување повици за ставање крај на војната за корисниците од Русија и Белорусија. Во исто време, идентификувани се и поопасни манифестации, на пример, додаден е енкриптор во пакетите со модули AWS Terraform и во лиценцата беа воведени политички ограничувања. Фирмверот Tasmota за уредите ESP8266 и ESP32 има вграден обележувач што може да ја блокира работата на уредите. Се верува дека таквата активност може сериозно да ја поткопа довербата во софтверот со отворен код.

Извор: opennet.ru