Perubahan hasad telah dikesan dalam pakej NPM nod-ipc (CVE-2022-23812), dengan kebarangkalian 25% bahawa kandungan semua fail yang mempunyai akses tulis digantikan dengan aksara “❤️”. Kod berniat jahat hanya diaktifkan apabila dilancarkan pada sistem dengan alamat IP dari Rusia atau Belarus. Pakej node-ipc mempunyai kira-kira sejuta muat turun setiap minggu dan digunakan sebagai pergantungan pada 354 pakej, termasuk vue-cli. Semua projek yang mempunyai nod-ipc sebagai kebergantungan juga dipengaruhi oleh masalah tersebut.
Kod hasad telah diposkan ke repositori NPM sebagai sebahagian daripada keluaran nod-ipc 10.1.1 dan 10.1.2. Perubahan berniat jahat telah disiarkan ke repositori Git projek bagi pihak pengarang projek 11 hari yang lalu. Negara ditentukan dalam kod dengan memanggil perkhidmatan api.ipgeolocation.io. Kunci yang telah diakses ke API ipgeolocation.io daripada benaman berniat jahat kini telah dibatalkan.
Dalam komen kepada amaran tentang kemunculan kod yang meragukan, pengarang projek menyatakan bahawa perubahan itu sama dengan menambah fail ke desktop yang memaparkan mesej yang menyeru kedamaian. Malah, kod tersebut menjalankan carian rekursif direktori dengan percubaan untuk menimpa semua fail yang ditemui.
Keluaran nod-ipc 11.0.0 dan 11.1.0 kemudiannya disiarkan ke repositori NPM, yang menggantikan kod hasad terbina dalam dengan pergantungan luaran, "peacenotwar," dikawal oleh pengarang yang sama dan ditawarkan untuk dimasukkan oleh penyelenggara pakej yang ingin untuk menyertai protes. Dinyatakan bahawa pakej peacenotwar hanya memaparkan mesej tentang keamanan, tetapi mengambil kira tindakan yang telah diambil oleh pengarang, kandungan lanjut pakej itu tidak dapat diramalkan dan ketiadaan perubahan yang merosakkan tidak dijamin.
Pada masa yang sama, kemas kini kepada cawangan nod-ipc 9.2.2 yang stabil, yang digunakan oleh projek Vue.js, telah dikeluarkan. Dalam keluaran baharu, sebagai tambahan kepada peacenotwar, pakej warna juga telah ditambahkan pada senarai kebergantungan, yang pengarangnya menyepadukan perubahan yang merosakkan ke dalam kod pada bulan Januari. Lesen sumber untuk keluaran baharu telah ditukar daripada MIT kepada DBAD.
Memandangkan tindakan selanjutnya pengarang tidak dapat diramalkan, pengguna nod-ipc disyorkan untuk membetulkan kebergantungan pada versi 9.2.1. Ia juga disyorkan untuk menetapkan versi untuk perkembangan lain oleh pengarang yang sama yang mengekalkan 41 pakej. Beberapa pakej yang diselenggara oleh pengarang yang sama (js-queue, easy-stack, js-message, event-pubsub) mempunyai kira-kira sejuta muat turun setiap minggu.
Penambahan: Percubaan lain telah direkodkan untuk menambah tindakan pada pelbagai pakej terbuka yang tidak berkaitan dengan fungsi langsung aplikasi dan terikat dengan alamat IP atau tempat sistem. Perubahan ini yang paling tidak berbahaya (es5-ext, rete, komposer PHP, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) bermuara kepada memaparkan panggilan untuk menamatkan perang untuk pengguna dari Rusia dan Belarus. Pada masa yang sama, manifestasi yang lebih berbahaya juga dikenal pasti, sebagai contoh, penyulitan telah ditambahkan pada pakej modul AWS Terraform dan sekatan politik telah diperkenalkan ke dalam lesen. Perisian tegar Tasmota untuk peranti ESP8266 dan ESP32 mempunyai penanda halaman terbina dalam yang boleh menyekat pengendalian peranti. Adalah dipercayai bahawa aktiviti sedemikian boleh menjejaskan kepercayaan terhadap perisian sumber terbuka secara serius.
Sumber: opennet.ru