V balíku node-ipc NPM (CVE-2022-23812) bola zistená škodlivá zmena s 25% pravdepodobnosťou, že obsah všetkých súborov, ktoré majú prístup na zápis, bude nahradený znakom „❤️“. Škodlivý kód sa aktivuje až pri spustení na systémoch s IP adresami z Ruska alebo Bieloruska. Balík node-ipc má asi milión stiahnutí za týždeň a používa sa ako závislosť na 354 balíkoch vrátane vue-cli. Všetky projekty, ktoré majú node-ipc ako závislosti, sú tiež ovplyvnené problémom.
Škodlivý kód bol odoslaný do úložiska NPM ako súčasť vydaní node-ipc 10.1.1 a 10.1.2. Pred 11 dňami bola do úložiska Git projektu v mene autora projektu odoslaná škodlivá zmena. Krajina bola určená v kóde volaním služby api.ipgeolocation.io. Kľúč, ku ktorému sa pristupovalo k ipgeolocation.io API zo škodlivého vloženia, bol teraz odvolaný.
V komentároch k varovaniu o výskyte pochybného kódu autor projektu uviedol, že zmena predstavuje pridanie súboru na plochu, ktorý zobrazuje správu vyzývajúcu na mier. V skutočnosti kód vykonal rekurzívne vyhľadávanie adresárov s pokusom prepísať všetky nájdené súbory.
Vydania node-ipc 11.0.0 a 11.1.0 boli neskôr zverejnené v úložisku NPM, ktoré nahradilo vstavaný škodlivý kód externou závislosťou, „peacenotwar“, kontrolovanou rovnakým autorom a ponúkanú na zahrnutie správcom balíkov, ktorí si želajú pripojiť sa k protestu. Uvádza sa, že balíček peacenotwar zobrazuje iba správu o mieri, ale s prihliadnutím na kroky, ktoré už autor vykonal, je ďalší obsah balíčka nepredvídateľný a absencia deštruktívnych zmien nie je zaručená.
Zároveň bola vydaná aktualizácia stabilnej vetvy node-ipc 9.2.2, ktorú využíva projekt Vue.js. V novom vydaní pribudol do zoznamu závislostí okrem peacenotwar aj balík farieb, ktorého autor v januári integroval do kódu deštruktívne zmeny. Zdrojová licencia pre nové vydanie bola zmenená z MIT na DBAD.
Keďže ďalšie kroky autora sú nepredvídateľné, používateľom node-ipc sa odporúča opraviť závislosti na verzii 9.2.1. Odporúča sa tiež opraviť verzie pre ďalší vývoj od toho istého autora, ktorý udržiaval 41 balíkov. Niektoré z balíkov spravovaných rovnakým autorom (js-queue, easy-stack, js-message, event-pubsub) majú asi milión stiahnutí za týždeň.
Pridanie: Boli zaznamenané ďalšie pokusy o pridanie akcií do rôznych otvorených balíkov, ktoré nesúvisia s priamou funkčnosťou aplikácií a sú viazané na IP adresy alebo miestne nastavenia systému. Najneškodnejšie z týchto zmien (es5-ext, rete, PHP skladateľ, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) sa scvrkli na zobrazenie výziev na ukončenie vojny pre používateľov z Ruska a Bieloruska. Zároveň sú identifikované aj nebezpečnejšie prejavy, napríklad do balíkov modulov AWS Terraform bol pridaný šifrovač a do licencie boli zavedené politické obmedzenia. Firmvér Tasmota pre zariadenia ESP8266 a ESP32 má vstavanú záložku, ktorá môže blokovať činnosť zariadení. Predpokladá sa, že takáto činnosť by mohla vážne narušiť dôveru v softvér s otvoreným zdrojovým kódom.
Zdroj: opennet.ru