Откриена е злонамерна промена во пакетот node-ipc NPM (CVE-2022-23812), со 25% веројатност содржината на сите датотеки што имаат пристап за запишување да се заменат со знакот „❤️“. Злонамерниот код се активира само кога се активира на системи со IP адреси од Русија или Белорусија. Пакетот node-ipc има околу милион преземања неделно и се користи како зависност од 354 пакети, вклучувајќи го и vue-cli. Сите проекти кои имаат node-ipc како зависност се исто така погодени од проблемот.
Злонамерниот код беше објавен во складиштето на NPM како дел од изданијата на node-ipc 10.1.1 и 10.1.2. Злонамерна промена беше објавена во складиштето Git на проектот во име на авторот на проектот пред 11 дена. Земјата беше одредена во кодот со повикување на услугата api.ipgeolocation.io. Клучот до кој беше пристапен до ipgeolocation.io API од злонамерното вградување сега е отповикан.
Во коментарите на предупредувањето за појавата на сомнителен код, авторот на проектот изјавил дека промената значи додавање датотека на работната површина која прикажува порака која повикува на мир. Всушност, кодот изврши рекурзивно пребарување на директориуми со обид да ги презапише сите датотеки што се сретнале.
Изданијата на node-ipc 11.0.0 и 11.1.0 подоцна беа објавени во складиштето NPM, кое го замени вградениот злонамерен код со надворешна зависност, „peacenotwar“, контролирана од истиот автор и понудена за вклучување од одржувачите на пакети кои сакаат да се приклучат на протестот. Се наведува дека пакетот мирновоен само прикажува порака за мир, но земајќи ги предвид веќе преземените активности од авторот, понатамошната содржина на пакетот е непредвидлива и отсуството на деструктивни промени не е загарантирано.
Во исто време, беше објавено ажурирање на стабилната гранка node-ipc 9.2.2, која се користи од проектот Vue.js. Во новото издание, покрај миротворната војна, на списокот на зависности беше додаден и пакетот бои, чиј автор во јануари интегрираше деструктивни промени во кодот. Изворната лиценца за новото издание е променета од MIT во DBAD.
Бидејќи понатамошните активности на авторот се непредвидливи, на корисниците на node-ipc им се препорачува да ги поправат зависностите од верзијата 9.2.1. Исто така, се препорачува да се поправат верзии за други случувања од истиот автор кој одржувал 41 пакет. Некои од пакетите што ги одржува истиот автор (js-queue, easy-stack, js-message, event-pubsub) имаат околу милион преземања неделно.
Дополнување: Други обиди за додавање акции на разни отворени пакети кои не се поврзани со директната функционалност на апликациите и се поврзани со Мојата IP адреса или системската локација. Најбезопасните од овие промени (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) се сведуваат на прикажување повици за прекин на војната за корисниците во Русија и Белорусија. Сепак, идентификувани се и поопасни манифестации, како што се додаден ransomware на модулите на AWS Terraform и додадени политички ограничувања на лиценцата. Фирмверот Tasmota за уредите ESP8266 и ESP32 содржи задна врата способна да го блокира работењето на уредот. Се верува дека таквата активност сериозно ја поткопува довербата во софтверот со отворен код.
Извор: opennet.ru
