En ondsinnet endring ble oppdaget i node-ipc NPM-pakken (CVE-2022-23812), med en 25 % sannsynlighet for at innholdet i alle filer som har skrivetilgang erstattes med tegnet "❤️". Den ondsinnede koden aktiveres bare når den lanseres på systemer med IP-adresser fra Russland eller Hviterussland. Node-ipc-pakken har omtrent en million nedlastinger per uke og brukes som en avhengighet av 354 pakker, inkludert vue-cli. Alle prosjekter som har node-ipc som avhengigheter er også berørt av problemet.
Den ondsinnede koden ble postet til NPM-depotet som en del av node-ipc 10.1.1 og 10.1.2-utgivelsene. En ondsinnet endring ble lagt ut i prosjektets Git-depot på vegne av prosjektets forfatter for 11 dager siden. Landet ble bestemt i koden ved å ringe api.ipgeolocation.io-tjenesten. Nøkkelen som ble åpnet til ipgeolocation.io API fra den ondsinnede innebyggingen er nå tilbakekalt.
I kommentarene til advarselen om utseendet til tvilsom kode, uttalte forfatteren av prosjektet at endringen innebærer å legge til en fil på skrivebordet som viser en melding som ber om fred. Faktisk utførte koden et rekursivt søk i kataloger med et forsøk på å overskrive alle filer som ble oppdaget.
Utgivelser av node-ipc 11.0.0 og 11.1.0 ble senere lagt ut til NPM-depotet, som erstattet den innebygde ondsinnede koden med en ekstern avhengighet, "peacenotwar", kontrollert av samme forfatter og tilbudt for inkludering av pakkevedlikeholdere som ønsket. å delta i protesten. Det er uttalt at peacenotwar-pakken bare viser en melding om fred, men med tanke på handlingene som allerede er utført av forfatteren, er det videre innholdet i pakken uforutsigbart og fraværet av destruktive endringer er ikke garantert.
Samtidig ble en oppdatering til den stabile node-ipc 9.2.2-grenen, som brukes av Vue.js-prosjektet, utgitt. I den nye utgivelsen, i tillegg til peacenotwar, ble fargepakken også lagt til listen over avhengigheter, hvis forfatter integrerte destruktive endringer i koden i januar. Kildelisensen for den nye utgivelsen er endret fra MIT til DBAD.
Siden forfatterens videre handlinger er uforutsigbare, anbefales node-ipc-brukere å fikse avhengighetene på versjon 9.2.1. Det anbefales også å fikse versjoner for andre utviklinger av samme forfatter som vedlikeholdt 41 pakker. Noen av pakkene som vedlikeholdes av samme forfatter (js-queue, easy-stack, js-message, event-pubsub) har omtrent en million nedlastinger per uke.
Tillegg: Det er registrert andre forsøk på å legge til handlinger til forskjellige åpne pakker som ikke er relatert til den direkte funksjonaliteten til applikasjoner og er knyttet til IP-adresser eller systemlokale. De mest harmløse av disse endringene (es5-ext, rete, PHP-komponist, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) koker ned til å vise anrop for å avslutte krigen for brukere fra Russland og Hviterussland. Samtidig identifiseres også farligere manifestasjoner, for eksempel ble en kryptering lagt til AWS Terraform-modulpakker og politiske restriksjoner ble innført i lisensen. Tasmota-fastvare for ESP8266- og ESP32-enheter har et innebygd bokmerke som kan blokkere driften av enheter. Det antas at slik aktivitet kan alvorlig undergrave tilliten til åpen kildekode-programvare.
Kilde: opennet.ru