Ġiet skoperta bidla malizzjuża fil-pakkett node-ipc NPM (CVE-2022-23812), bi probabbiltà ta' 25% li l-kontenut tal-fajls kollha li għandhom aċċess għall-kitba jiġu sostitwiti bil-karattru “❤️”. Il-kodiċi malizzjuż jiġi attivat biss meta jitnieda fuq sistemi b'indirizzi IP mir-Russja jew il-Belarus. Il-pakkett node-ipc għandu madwar miljun download fil-ġimgħa u jintuża bħala dipendenza fuq 354 pakkett, inkluż vue-cli. Il-proġetti kollha li għandhom node-ipc bħala dipendenzi huma wkoll affettwati mill-problema.
Il-kodiċi malizzjuż ġie ppubblikat fir-repożitorju tal-NPM bħala parti mir-rilaxxi node-ipc 10.1.1 u 10.1.2. Bidla malizzjuża ġiet ippubblikata fir-repożitorju Git tal-proġett f'isem l-awtur tal-proġett 11-il jum ilu. Il-pajjiż ġie ddeterminat fil-kodiċi billi ċempel lis-servizz api.ipgeolocation.io. Iċ-ċavetta li ġiet aċċessata għall-API ipgeolocation.io mill-inkorporazzjoni malizzjuża issa ġiet revokata.
Fil-kummenti għat-twissija dwar id-dehra ta 'kodiċi dubjuż, l-awtur tal-proġett iddikjara li l-bidla tammonta għal żieda ta' fajl fuq id-desktop li juri messaġġ li jitlob għall-paċi. Fil-fatt, il-kodiċi wettaq tfittxija rikorrenti ta 'direttorji b'tentattiv biex jissostitwixxu l-fajls kollha li ltaqgħu magħhom.
Ir-rilaxxi ta' node-ipc 11.0.0 u 11.1.0 aktar tard ġew stazzjonati fir-repożitorju tal-NPM, li ssostitwixxa l-kodiċi malizzjuż inkorporat b'dipendenza esterna, "peacenotwar", ikkontrollata mill-istess awtur u offruta għall-inklużjoni minn dawk li jżommu l-pakketti li jixtiequ. biex tingħaqad mal-protesta. Huwa ddikjarat li l-pakkett peacenotwar juri biss messaġġ dwar il-paċi, iżda meta jitqiesu l-azzjonijiet diġà meħuda mill-awtur, il-kontenut ulterjuri tal-pakkett huwa imprevedibbli u n-nuqqas ta 'bidliet distruttivi mhuwiex garantit.
Fl-istess ħin, ġie rilaxxat aġġornament għall-fergħa stabbli node-ipc 9.2.2, li tintuża mill-proġett Vue.js. Fir-rilaxx il-ġdid, minbarra l-peacenotwar, il-pakkett tal-kuluri ġie miżjud ukoll mal-lista ta 'dipendenzi, li l-awtur tiegħu integrat bidliet distruttivi fil-kodiċi f'Jannar. Il-liċenzja tas-sors għar-rilaxx il-ġdid inbidel minn MIT għal DBAD.
Peress li l-azzjonijiet ulterjuri tal-awtur huma imprevedibbli, l-utenti node-ipc huma rakkomandati li jiffissaw id-dipendenzi fuq il-verżjoni 9.2.1. Huwa rakkomandat ukoll li jiġu ffissati verżjonijiet għal żviluppi oħra mill-istess awtur li żamm 41 pakkett. Uħud mill-pakketti miżmuma mill-istess awtur (js-queue, easy-stack, js-message, event-pubsub) għandhom madwar miljun download fil-ġimgħa.
Żieda: Ġew irreġistrati tentattivi oħra biex jiżdiedu azzjonijiet ma 'diversi pakketti miftuħa li mhumiex relatati mal-funzjonalità diretta tal-applikazzjonijiet u huma marbuta ma' indirizzi IP jew lokali tas-sistema. L-aktar li ma jagħmlux ħsara minn dawn il-bidliet (es5-ext, rete, kompożitur PHP, PHPUnit, Redis Desktop Manager, Twissijiet tal-biża 'Prometheus, verdaccio, filestash) jinżlu biex juru sejħiet biex itemmu l-gwerra għall-utenti mir-Russja u l-Belarus. Fl-istess ħin, huma identifikati wkoll manifestazzjonijiet aktar perikolużi, pereżempju, encryptor ġie miżjud mal-pakketti tal-moduli AWS Terraform u restrizzjonijiet politiċi ġew introdotti fil-liċenzja. Firmware Tasmota għall-apparat ESP8266 u ESP32 għandu bookmark inkorporat li jista 'jimblokka t-tħaddim tal-apparati. Huwa maħsub li attività bħal din tista' ddgħajjef serjament il-fiduċja fis-softwer open source.
Sors: opennet.ru