V paketu node-ipc NPM (CVE-2022-23812) je bila zaznana zlonamerna sprememba, s 25-odstotno verjetnostjo, da se vsebina vseh datotek, ki imajo dostop za pisanje, zamenja z znakom »❤️«. Zlonamerna koda se aktivira le, ko se zažene v sistemih z naslovi IP iz Rusije ali Belorusije. Paket node-ipc ima približno milijon prenosov na teden in se uporablja kot odvisnost od 354 paketov, vključno z vue-cli. Težava vpliva tudi na vse projekte, ki imajo kot odvisnost node-ipc.
Zlonamerna koda je bila objavljena v skladišču NPM kot del izdaj node-ipc 10.1.1 in 10.1.2. Zlonamerna sprememba je bila v imenu avtorja projekta objavljena v repozitoriju Git projekta pred 11 dnevi. Državo smo v kodi določili s klicem storitve api.ipgeolocation.io. Ključ, do katerega je bil dostopan do API-ja ipgeolocation.io iz zlonamerne vdelave, je zdaj preklican.
V komentarjih k opozorilu o pojavu dvomljive kode je avtor projekta navedel, da sprememba pomeni dodajanje datoteke na namizje, ki prikazuje sporočilo, ki poziva k miru. Pravzaprav je koda izvedla rekurzivno iskanje imenikov s poskusom prepisa vseh najdenih datotek.
Izdaji node-ipc 11.0.0 in 11.1.0 sta bili pozneje objavljeni v repozitoriju NPM, ki je nadomestil vgrajeno zlonamerno kodo z zunanjo odvisnostjo, »peacenotwar«, ki jo nadzira isti avtor in je ponujena za vključitev vzdrževalcem paketov, ki želijo da se pridružijo protestu. Navedeno je, da paket peacenotwar prikazuje samo sporočilo o miru, vendar je ob upoštevanju dejanj, ki jih je avtor že izvedel, nadaljnja vsebina paketa nepredvidljiva in odsotnost destruktivnih sprememb ni zagotovljena.
Hkrati je izšla posodobitev stabilne veje node-ipc 9.2.2, ki jo uporablja projekt Vue.js. V novi izdaji je bil poleg peacenotwar na seznam odvisnosti dodan tudi paket barv, katerega avtor je januarja v kodo integriral destruktivne spremembe. Izvorna licenca za novo izdajo je bila spremenjena iz MIT v DBAD.
Ker so avtorjeva nadaljnja dejanja nepredvidljiva, uporabnikom node-ipc priporočamo, da popravijo odvisnosti od različice 9.2.1. Prav tako je priporočljivo popraviti različice za druge razvoje istega avtorja, ki je vzdrževal 41 paketov. Nekateri paketi, ki jih vzdržuje isti avtor (js-queue, easy-stack, js-message, event-pubsub), imajo približno milijon prenosov na teden.
Dodatek: Zabeleženi so bili drugi poskusi dodajanja dejanj različnim odprtim paketom, ki niso povezani z neposredno funkcionalnostjo aplikacij in so vezani na naslove IP ali sistemsko področje. Najbolj neškodljive od teh sprememb (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) se skrčijo na prikaz klicev za končanje vojne za uporabnike iz Rusije in Belorusije. Hkrati so ugotovljene tudi bolj nevarne manifestacije, na primer paketom modulov AWS Terraform je bil dodan šifrirnik in v licenco so bile uvedene politične omejitve. Vdelana programska oprema Tasmota za naprave ESP8266 in ESP32 ima vgrajen zaznamek, ki lahko blokira delovanje naprav. Menijo, da bi lahko takšna dejavnost resno ogrozila zaupanje v odprtokodno programsko opremo.
Vir: opennet.ru