A fost detectată o modificare rău intenționată în pachetul node-ipc NPM (CVE-2022-23812), cu o probabilitate de 25% ca conținutul tuturor fișierelor care au acces la scriere să fie înlocuit cu caracterul „❤️”. Codul rău intenționat este activat numai atunci când este lansat pe sisteme cu adrese IP din Rusia sau Belarus. Pachetul node-ipc are aproximativ un milion de descărcări pe săptămână și este folosit ca dependență de 354 de pachete, inclusiv vue-cli. Toate proiectele care au ca dependențe node-ipc sunt, de asemenea, afectate de problemă.
Codul rău intenționat a fost postat în depozitul NPM ca parte a versiunilor node-ipc 10.1.1 și 10.1.2. O modificare rău intenționată a fost postată în depozitul Git al proiectului în numele autorului proiectului cu 11 zile în urmă. Țara a fost determinată în cod apelând serviciul api.ipgeolocation.io. Cheia care a fost accesată la API-ul ipgeolocation.io din încorporarea rău intenționată a fost acum revocată.
În comentariile la avertismentul despre apariția unui cod dubios, autorul proiectului a afirmat că modificarea echivalează cu adăugarea pe desktop a unui fișier care afișează un mesaj prin care se cere pace. De fapt, codul a efectuat o căutare recursivă a directoarelor cu încercarea de a suprascrie toate fișierele întâlnite.
Versiunile node-ipc 11.0.0 și 11.1.0 au fost ulterior postate în depozitul NPM, care a înlocuit codul rău intenționat încorporat cu o dependență externă, „peacenowar”, controlată de același autor și oferită pentru includere de către întreținătorii de pachete care doresc să se alăture protestului. Se afirmă că pachetul peacenowar afișează doar un mesaj despre pace, dar ținând cont de acțiunile deja întreprinse de autor, conținutul ulterioar al pachetului este imprevizibil, iar absența modificărilor distructive nu este garantată.
În același timp, a fost lansată o actualizare a ramurii stabile node-ipc 9.2.2, care este utilizată de proiectul Vue.js. În noua versiune, pe lângă pacenowar, pachetul de culori a fost adăugat și la lista de dependențe, autorul căruia a integrat modificări distructive în cod în ianuarie. Licența sursă pentru noua versiune a fost schimbată din MIT în DBAD.
Deoarece acțiunile ulterioare ale autorului sunt imprevizibile, utilizatorilor node-ipc li se recomandă să repare dependențele de versiunea 9.2.1. De asemenea, se recomandă repararea versiunilor pentru alte dezvoltări ale aceluiași autor care a întreținut 41 de pachete. Unele dintre pachetele întreținute de același autor (js-queue, easy-stack, js-message, event-pubsub) au aproximativ un milion de descărcări pe săptămână.
Adăugare: Au fost înregistrate și alte încercări de a adăuga acțiuni la diferite pachete deschise care nu au legătură cu funcționalitatea directă a aplicațiilor și sunt legate de adresele IP sau de localizarea sistemului. Cele mai inofensive dintre aceste modificări (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) se rezumă la afișarea apelurilor pentru a pune capăt războiului pentru utilizatorii din Rusia și Belarus. În același timp, sunt identificate și manifestări mai periculoase, de exemplu, un criptator a fost adăugat la pachetele de module AWS Terraform și au fost introduse restricții politice în licență. Firmware-ul Tasmota pentru dispozitivele ESP8266 și ESP32 are un marcaj încorporat care poate bloca funcționarea dispozitivelor. Se crede că o astfel de activitate ar putea submina serios încrederea în software-ul open source.
Sursa: opennet.ru