Node-ipc NPM багцад (CVE-2022-23812) хортой өөрчлөлт илэрсэн бөгөөд бичих эрхтэй бүх файлын агуулгыг "❤️" тэмдэгтээр солих магадлал 25% байна. Хортой кодыг зөвхөн Орос, Беларусь улсын IP хаягтай систем дээр ажиллуулсны дараа л идэвхжүүлдэг. Node-ipc багц нь долоо хоногт нэг сая орчим татан авалттай бөгөөд vue-cli зэрэг 354 багцаас хамааралтай байдлаар ашиглагддаг. Node-ipc хамааралтай бүх төслүүд асуудалд өртдөг.
Хортой кодыг node-ipc 10.1.1 болон 10.1.2 хувилбаруудын нэг хэсэг болгон NPM репозиторт байршуулсан. Төслийн зохиогчийн нэрийн өмнөөс 11 хоногийн өмнө төслийн Git репозиторт хортой өөрчлөлт оруулсан. api.ipgeolocation.io үйлчилгээг дуудаж кодоор улсыг тодорхойлсон. Хорлонтой суулгацаас ipgeolocation.io API руу хандсан түлхүүр одоо хүчингүй болсон.
Эргэлзээтэй код гарч ирэх тухай сэрэмжлүүлэгт өгсөн тайлбарт төслийн зохиогч энэхүү өөрчлөлт нь ширээний компьютерт энх тайвныг уриалсан мессежийг харуулсан файл нэмэхтэй адил гэж мэдэгджээ. Үнэн хэрэгтээ, код нь тулгарсан бүх файлыг дарж бичих оролдлого бүхий сангуудын рекурсив хайлт хийсэн.
Хожим нь node-ipc 11.0.0 болон 11.1.0 хувилбаруудыг NPM репозиторт байршуулсан бөгөөд энэ нь суулгасан хортой кодыг гадны хамаарлаар сольсон бөгөөд ижил зохиогчийн хяналтанд байдаг "peacenotwar" бөгөөд хүссэн багц засварлагчдад оруулахыг санал болгосон. жагсаалд нэгдэх. Peynotwar багц нь зөвхөн энх тайвны тухай мессежийг харуулдаг боловч зохиогчийн хийсэн үйлдлүүдийг харгалзан үзэхэд багцын цаашдын агуулгыг урьдчилан таамаглах боломжгүй бөгөөд сүйрлийн өөрчлөлт гарахгүй байх баталгаагүй болно.
Үүний зэрэгцээ Vue.js төслийн ашигладаг тогтвортой node-ipc 9.2.2 салбарын шинэчлэл гарсан. Шинэ хувилбарт энхийн нотолгооноос гадна өнгөт багцыг мөн хамаарлын жагсаалтад нэмж оруулсан бөгөөд зохиогч нь XNUMX-р сард кодонд хор хөнөөлтэй өөрчлөлтүүдийг оруулсан болно. Шинэ хувилбарын эх лицензийг MIT-аас DBAD болгон өөрчилсөн.
Зохиогчийн цаашдын үйлдлийг урьдчилан тааварлах боломжгүй тул node-ipc хэрэглэгчид 9.2.1 хувилбарын хамаарлыг засахыг зөвлөж байна. Мөн 41 багцыг хадгалсан ижил зохиогчийн бусад хөгжүүлэлтийн хувилбаруудыг засахыг зөвлөж байна. Нэг зохиогчийн хадгалдаг зарим багц (js-queue, easy-stack, js-message, event-pubsub) долоо хоногт нэг сая орчим татагдсан байдаг.
Нэмэлт: Програмын шууд ажиллагаатай холбоогүй, IP хаяг эсвэл системийн локалтай холбоотой янз бүрийн нээлттэй багцуудад үйлдэл нэмэх бусад оролдлогууд бүртгэгдсэн. Эдгээр өөрчлөлтүүдийн хамгийн хор хөнөөлгүй нь (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) нь Орос, Беларусийн хэрэглэгчдийн дайныг зогсоох дуудлагуудыг харуулахад хүргэдэг. Үүний зэрэгцээ илүү аюултай илрэлүүд бас тодорхойлогддог, жишээлбэл, AWS Terraform модулийн багцад шифрлэгч нэмж, лицензэд улс төрийн хязгаарлалтыг нэвтрүүлсэн. ESP8266 болон ESP32 төхөөрөмжүүдэд зориулсан Tasmota программ нь төхөөрөмжийн ажиллагааг хааж чадах хавчуургатай. Ийм үйл ажиллагаа нь нээлттэй эхийн програм хангамжид итгэх итгэлийг ноцтой алдагдуулж болзошгүй гэж үздэг.
Эх сурвалж: opennet.ru