node-ipc NPM පැකේජයේ (CVE-2022-23812) අනිෂ්ට වෙනසක් අනාවරණය කර ගෙන ඇති අතර, ලිවීමේ ප්රවේශය ඇති සියලුම ගොනු වල අන්තර්ගතය “❤️” අක්ෂරයෙන් ප්රතිස්ථාපනය කිරීමේ 25% සම්භාවිතාවක් ඇත. අනිෂ්ට කේතය සක්රිය කර ඇත්තේ රුසියාවෙන් හෝ බෙලරුසියාවෙන් IP ලිපින සහිත පද්ධති මත දියත් කළ විට පමණි. node-ipc පැකේජය සතියකට බාගත කිරීම් මිලියනයක් පමණ ඇති අතර එය vue-cli ඇතුළු පැකේජ 354ක් මත යැපීමක් ලෙස භාවිතා කරයි. node-ipc පරායත්තතා ලෙස ඇති සියලුම ව්යාපෘති ද ගැටලුවට බලපායි.
නෝඩ්-ipc 10.1.1 සහ 10.1.2 නිකුතු වල කොටසක් ලෙස ද්වේශසහගත කේතය NPM ගබඩාව වෙත පළ කරන ලදී. දින 11කට පෙර ව්යාපෘතියේ කතුවරයා වෙනුවෙන් ව්යාපෘතියේ Git ගබඩාවට අනිෂ්ට වෙනසක් පළ කරන ලදී. api.ipgeolocation.io සේවාව ඇමතීමෙන් කේතයෙහි රට නිර්ණය කරන ලදී. අනිෂ්ට කාවැද්දීම වෙතින් ipgeolocation.io API වෙත ප්රවේශ වූ යතුර දැන් අවලංගු කර ඇත.
සැක සහිත කේතයේ පෙනුම පිළිබඳ අනතුරු ඇඟවීමට අදහස් දැක්වීමේදී, ව්යාපෘතියේ කතුවරයා ප්රකාශ කළේ වෙනස් කිරීම සාමය සඳහා කැඳවුම් කරන පණිවිඩයක් පෙන්වන ගොනුවක් ඩෙස්ක්ටොප් එකට එකතු කිරීම බවයි. ඇත්ත වශයෙන්ම, කේතය විසින් හමු වූ සියලුම ගොනු නැවත ලිවීමේ උත්සාහයක් සමඟ නාමාවලිවල පුනරාවර්තන සෙවීමක් සිදු කරන ලදී.
node-ipc 11.0.0 සහ 11.1.0 නිකුතු පසුව NPM ගබඩාව වෙත පළ කරන ලද අතර, එම කර්තෘ විසින්ම පාලනය කරන ලද "peacenotwar" යන බාහිර පරායත්තතාවයෙන් ගොඩනඟන ලද අනිෂ්ට කේතය ප්රතිස්ථාපනය කරන ලද අතර පැකේජ නඩත්තු කරන්නන් විසින් ඇතුළත් කිරීමට ඉදිරිපත් කරන ලදී. විරෝධතාවයට එක්වීමට. Pessnotwar පැකේජය සාමය පිළිබඳ පණිවිඩයක් පමණක් ප්රදර්ශනය කරන බව සඳහන් වේ, නමුත් කතුවරයා විසින් දැනටමත් ගෙන ඇති ක්රියාමාර්ග සැලකිල්ලට ගනිමින්, පැකේජයේ වැඩිදුර අන්තර්ගතය අනපේක්ෂිත වන අතර විනාශකාරී වෙනස්කම් නොමැති බව සහතික නොවේ.
ඒ සමගම, Vue.js ව්යාපෘතිය මගින් භාවිතා කරන ස්ථාවර node-ipc 9.2.2 ශාඛාව වෙත යාවත්කාලීන කිරීමක් නිකුත් කරන ලදී. නව නිකුතුවේදී, peacenotwar වලට අමතරව, වර්ණ පැකේජය පරායත්ත ලැයිස්තුවට ද එකතු කරන ලද අතර, එහි කතුවරයා ජනවාරි මාසයේදී කේතයට විනාශකාරී වෙනස්කම් ඒකාබද්ධ කළේය. නව නිකුතුව සඳහා මූලාශ්ර බලපත්රය MIT සිට DBAD වෙත වෙනස් කර ඇත.
කර්තෘගේ වැඩිදුර ක්රියා අනපේක්ෂිත බැවින්, node-ipc පරිශීලකයන් 9.2.1 අනුවාදය මත යැපීම් නිවැරදි කිරීමට නිර්දේශ කරනු ලැබේ. පැකේජ 41ක් පවත්වාගෙන ගිය එකම කතුවරයා විසින් වෙනත් වර්ධනයන් සඳහා අනුවාද සවි කිරීම ද නිර්දේශ කෙරේ. එකම කර්තෘ විසින් නඩත්තු කරන සමහර පැකේජ (js-queue, easy-stack, js-message, Event-pubsub) සතියකට බාගත කිරීම් මිලියනයක් පමණ ඇත.
එකතු කිරීම: යෙදුම්වල සෘජු ක්රියාකාරීත්වයට සම්බන්ධ නොවන සහ IP ලිපින හෝ පද්ධති පෙදෙසට බැඳී ඇති විවිධ විවෘත පැකේජ වෙත ක්රියා එක් කිරීමට වෙනත් උත්සාහයන් වාර්තා කර ඇත. මෙම වෙනස්කම් වලින් වඩාත්ම හානිකර නොවන (es5-ext, rete, PHP Composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) රුසියාවේ සහ බෙලරුස්හි පරිශීලකයින් සඳහා යුද්ධය අවසන් කිරීම සඳහා ඇමතුම් ප්රදර්ශනය කිරීමට පහත වැටේ. ඒ අතරම, වඩාත් භයානක ප්රකාශනයන් ද හඳුනාගෙන ඇත, නිදසුනක් ලෙස, AWS Terraform මොඩියුල පැකේජවලට සංකේතාකකයක් එක් කරන ලද අතර බලපත්රයට දේශපාලන සීමාවන් හඳුන්වා දෙන ලදී. ESP8266 සහ ESP32 උපාංග සඳහා Tasmota ස්ථිරාංග උපාංගවල ක්රියාකාරිත්වය අවහිර කළ හැකි බිල්ට් පිටු සලකුණක් ඇත. එවැනි ක්රියාකාරකම් විවෘත කේත මෘදුකාංග කෙරෙහි ඇති විශ්වාසය බරපතල ලෙස පලුදු කළ හැකි බව විශ්වාස කෙරේ.
මූලාශ්රය: opennet.ru