node-ipc NPM پيڪيج (CVE-2022-23812) ۾ هڪ خراب تبديلي معلوم ڪئي وئي، 25٪ امڪان سان ته سڀني فائلن جو مواد جن وٽ لکڻ جي رسائي آهي انهن کي "❤️" ڪردار سان تبديل ڪيو ويو آهي. بدسلوڪي ڪوڊ صرف تڏهن چالو ٿئي ٿو جڏهن روس يا بيلاروس کان IP پتي سان سسٽم تي شروع ڪيو وڃي. node-ipc پيڪيج هر هفتي اٽڪل هڪ ملين ڊائون لوڊ آهي ۽ 354 پيڪيجز تي انحصار طور استعمال ڪيو ويو آهي، بشمول vue-cli. سڀئي منصوبا جن وٽ نوڊ-IPc انحصار جي طور تي پڻ متاثر ٿيل آهن.
بدسلوڪي ڪوڊ پوسٽ ڪيو ويو NPM مخزن تي node-ipc 10.1.1 ۽ 10.1.2 رليز جي حصي طور. 11 ڏينهن اڳ پروجيڪٽ جي ليکڪ جي طرفان پروجيڪٽ جي گٽ مخزن تي بدسلوڪي تبديلي پوسٽ ڪئي وئي هئي. ملڪ api.ipgeolocation.io سروس کي ڪال ڪندي ڪوڊ ۾ طئي ڪيو ويو. ڪيچي جيڪا ipgeolocation.io API تائين رسائي هئي بدسلوڪي ايمبيڊ کان هاڻي رد ڪئي وئي آهي.
مشڪوڪ ڪوڊ جي ظاهر ٿيڻ بابت ڊيڄاريندڙ تبصرن ۾، پروجيڪٽ جي ليکڪ چيو آهي ته تبديلي ڊيسڪ ٽاپ تي هڪ فائل شامل ڪرڻ جي برابر آهي جيڪا امن لاء سڏيندڙ پيغام ڏيکاري ٿي. حقيقت ۾، ڪوڊ ڊائريڪٽرن جي ٻيهر ورهاڱي واري ڳولها ڪئي، سڀني فائلن کي ختم ڪرڻ جي ڪوشش سان.
node-ipc 11.0.0 ۽ 11.1.0 جا رليز بعد ۾ NPM مخزن تي پوسٽ ڪيا ويا، جنهن ۾ ٺاهيل بدسلوڪي ڪوڊ کي خارجي انحصار سان تبديل ڪيو ويو، "پيس نوٽوار،" ساڳئي ليکڪ طرفان ڪنٽرول ڪيو ويو ۽ پيڪيج برقرار رکڻ وارن طرفان شامل ڪرڻ جي آڇ ڪئي وئي. احتجاج ۾ شامل ٿيڻ لاء. اهو چيو ويو آهي ته امن نوٽوار پيڪيج صرف امن بابت پيغام ڏيکاري ٿو، پر ليکڪ طرفان اڳ ۾ ئي ڪيل ڪمن کي نظر ۾ رکندي، پيڪيج جو وڌيڪ مواد غير متوقع آهي ۽ تباهي واري تبديلين جي غير موجودگي جي ضمانت نه آهي.
ساڳئي وقت، مستحڪم node-ipc 9.2.2 برانچ تي هڪ تازه ڪاري، جيڪا Vue.js پروجيڪٽ پاران استعمال ڪئي وئي آهي، جاري ڪئي وئي. نئين رليز ۾، امن نٽوار کان علاوه، رنگن جو پيڪيج پڻ انحصار جي فهرست ۾ شامل ڪيو ويو، جنهن جي ليکڪ جنوري ۾ ڪوڊ ۾ تباهي واري تبديلين کي ضم ڪيو. نئين رليز لاء ذريعو لائسنس تبديل ڪيو ويو آهي MIT کان DBAD ڏانهن.
جيئن ته ليکڪ جا وڌيڪ ڪارناما غير متوقع آهن، نوڊ-ipc استعمال ڪندڙن کي سفارش ڪئي وئي آهي ته هو ورزن 9.2.1 تي انحصار کي درست ڪن. اهو پڻ سفارش ڪئي وئي آهي ته نسخن کي درست ڪرڻ لاء ساڳئي ليکڪ طرفان ٻين ترقيات لاء جيڪي 41 پيڪيجز برقرار رکيا آهن. ڪجھ پيڪيجز ساڳيا ليکڪ طرفان رکيل آهن (js-queue, easy-stack, js-message, event-pubsub) هر هفتي اٽڪل هڪ ملين ڊائون لوڊ آهن.
اضافو: ٻيون ڪوششون رڪارڊ ڪيون ويون آهن ڪارناما شامل ڪرڻ لاءِ مختلف کليل پيڪيجز جيڪي ايپليڪيشنن جي سڌي ڪارڪردگي سان لاڳاپيل نه آهن ۽ IP پتي يا سسٽم لوڪل سان ڳنڍيل آهن. انهن تبديلين مان سڀ کان وڌيڪ بي ضرر (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) روس ۽ بيلاروس جي استعمال ڪندڙن لاءِ جنگ کي ختم ڪرڻ لاءِ ڪالون ڏيکاريندي. ساڳئي وقت، وڌيڪ خطرناڪ ظاهر پڻ نشاندهي ڪئي وئي آهي، مثال طور، AWS Terraform ماڊل پيڪيجز ۾ هڪ اينڪرپٽر شامل ڪيو ويو ۽ سياسي پابنديون لائسنس ۾ متعارف ڪرايو ويو. ESP8266 ۽ ESP32 ڊوائيسز لاء Tasmota فرمائيندڙ هڪ تعمير ٿيل بک مارڪ آهي جيڪو ڊوائيسز جي آپريشن کي بلاڪ ڪري سگهي ٿو. اهو يقين آهي ته اهڙي سرگرمي سنجيدگي سان اوپن سورس سافٽ ويئر تي اعتماد کي نقصان پهچائي سگهي ٿي.
جو ذريعو: opennet.ru