د نوډ-ipc NPM بسته (CVE-2022-23812) کې یو ناوړه بدلون وموندل شو، د 25٪ احتمال سره چې د ټولو فایلونو مینځپانګې چې لیکلو ته لاسرسی لري د "❤️" کرکټر سره بدل شوي. ناوړه کوډ یوازې هغه وخت فعال کیږي کله چې د روسیې یا بیلاروس څخه د IP پتې سره سیسټمونو کې پیل شي. د نوډ-IPc کڅوړه په اونۍ کې شاوخوا یو ملیون ډاونلوډونه لري او په 354 کڅوړو کې د انحصار په توګه کارول کیږي ، پشمول vue-cli. ټولې پروژې چې د انحصار په توګه نوډ-IPc لري هم د ستونزې لخوا اغیزمن شوي.
ناوړه کوډ د NPM ذخیره ته د نوډ-ipc 10.1.1 او 10.1.2 ریلیزونو برخې په توګه ځړول شوی و. یو ناوړه بدلون 11 ورځې دمخه د پروژې لیکوال په استازیتوب د پروژې Git ذخیره کې ځړول شوی و. هیواد د api.ipgeolocation.io خدمت ته زنګ وهلو سره په کوډ کې ټاکل شوی و. هغه کیلي چې د ناوړه ایمبیډ څخه ipgeolocation.io API ته لاسرسی موندلی و اوس لغوه شوی.
د شکمن کوډ څرګندیدو په اړه خبرداری ته په تبصرو کې ، د پروژې لیکوال وویل چې بدلون په ډیسټاپ کې د فایل اضافه کولو مقدار دی چې د سولې غږ کولو پیغام ښیې. په حقیقت کې، کوډ د لارښوونو تکراري لټون ترسره کړ چې د ټولو فایلونو د بیا لیکلو هڅې سره مخ شوي.
د نوډ-ipc 11.0.0 او 11.1.0 خوشې کول وروسته د NPM ذخیره کې ځړول شوي، کوم چې جوړ شوی ناوړه کوډ د بهرني انحصار سره بدل کړ، "پیس نوټوار" چې د ورته لیکوال لخوا کنټرول شوی او د کڅوړې ساتونکو لخوا د شاملولو لپاره وړاندیز شوی. په لاريون کې د ګډون لپاره. ویل شوي چې د سولې نوتر کڅوړه یوازې د سولې په اړه پیغام څرګندوي، مګر د لیکوال لخوا دمخه ترسره شوي اقداماتو ته په پام سره، د کڅوړې نور محتويات د اټکل وړ ندي او د ویجاړونکي بدلونونو نشتوالی تضمین شوی نه دی.
په ورته وخت کې، د مستحکم نوډ-ipc 9.2.2 څانګې ته تازه معلومات، چې د Vue.js پروژې لخوا کارول کیږي، خپور شو. په نوې خپرونه کې، د سولې نوټار سربیره، د رنګونو کڅوړه هم د انحصارونو لیست کې اضافه شوې، چې لیکوال یې د جنوري په میاشت کې په کوډ کې ویجاړونکي بدلونونه مدغم کړل. د نوي خوشې کولو لپاره د سرچینې جواز له MIT څخه DBAD ته بدل شوی.
څرنګه چې د لیکوال نور اقدامات غیر متوقع دي، نوډ-IPc کاروونکو ته سپارښتنه کیږي چې په 9.2.1 نسخه کې انحصارونه حل کړي. دا هم سپارښتنه کیږي چې د ورته لیکوال لخوا د نورو پرمختګونو لپاره نسخې تنظیم کړي چې 41 کڅوړې یې ساتلي. د ورته لیکوال لخوا ساتل شوي ځینې کڅوړې (js-queue, easy-stack, js-message, Event-pubsub) په هره اونۍ کې شاوخوا یو ملیون ډاونلوډونه لري.
اضافه کول: په مختلفو خلاص کڅوړو کې د عملونو اضافه کولو لپاره نورې هڅې ثبت شوي چې د غوښتنلیکونو مستقیم فعالیت سره تړاو نلري او د IP پتې یا سیسټم ځای پورې تړلي دي. د دې بدلونونو خورا بې ضرر (es5-ext, rete, PHP کمپوزر, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) د روسیې او بیلاروس کاروونکو لپاره د جګړې پای ته رسولو لپاره د زنګونو ښودلو ته وده ورکوي. په ورته وخت کې، ډیر خطرناک څرګندونې هم پیژندل شوي، د بیلګې په توګه، د AWS Terraform ماډلونو کڅوړو کې کوډ کوونکی اضافه شوی او سیاسي محدودیتونه په جواز کې معرفي شوي. د ESP8266 او ESP32 وسیلو لپاره ټاسموټا فرم ویئر یو جوړ شوی بک مارک لري چې کولی شي د وسیلو عملیات بند کړي. داسې انګیرل کیږي چې دا ډول فعالیت کولی شي د خلاصې سرچینې سافټویر باور په جدي توګه زیانمن کړي.
سرچینه: opennet.ru