Isbeddel xaasidnimo ah ayaa lagu ogaaday xirmada node-ipc NPM (CVE-2022-23812), iyada oo 25% ay suurtogal tahay in waxa ku jira dhammaan faylasha leh gelitaanka qoraalka lagu beddelay dabeecadda "β€οΈ". Koodhka xaasidnimada ah waxa la shaqeeyaa oo keliya marka lagu soo bandhigo nidaamyada leh ciwaannada IP ee Ruushka ama Belarus. Xirmada node-ipc waxay leedahay ilaa hal milyan oo la soo dejiyo asbuucii waxaana loo adeegsadaa ku tiirsanaanta 354 xirmo, oo ay ku jiraan vue-cli. Dhammaan mashaariicda leh node-ipc sida ku-tiirsanaanta sidoo kale waxaa saameeyay dhibaatadu.
Koodhka xaasidnimada ah ayaa lagu dhejiyay kaydka NPM iyada oo qayb ka ah node-ipc 10.1.1 iyo 10.1.2 siidaynta. Isbeddel xaasidnimo ah ayaa lagu dhejiyay kaydka mashruuca ee Git isagoo ka wakiil ah qoraaga mashruuca 11 maalmood ka hor. Dalka waxaa lagu go'aamiyay koodka iyadoo la wacay adeegga api.ipgeolocation.io. Furaha laga helay ipgeolocation.io API ee gundhigga xaasidnimada hadda waa la buriyay.
Faallooyinka digniinta ku saabsan muuqaalka koodhka shakiga leh, qoraaga mashruucu wuxuu sheegay in isbeddelku yahay in lagu daro faylka miiska oo soo bandhigaya fariinta nabadda. Dhab ahaantii, koodka ayaa sameeyay baaritaan isdaba joog ah oo hagayaal ah iyada oo la isku dayay in la beddelo dhammaan faylasha la kulmay.
Siidaynta node-ipc 11.0.0 iyo 11.1.0 ayaa markii dambe lagu dhejiyay kaydka NPM, kaas oo bedelay koodhka xaasidnimada ah ee ku dhex dhisan ee ku tiirsanaanta dibadda, "peacenotwar," oo uu xukumo isla qoraaga waxaana loo soo bandhigay inay ku daraan xirmayaasha rajada si ay ugu biiraan mudaaharaadka. Waxaa la sheegay in xirmada peacenotwar ay soo bandhigto kaliya fariin ku saabsan nabadda, laakiin iyadoo la tixgelinayo ficillada uu horey u qaaday qoraaga, waxyaabaha dheeraadka ah ee xirmada ayaa ah kuwo aan la saadaalin karin iyo maqnaanshaha isbeddellada wax burburinaya lama damaanad qaadi karo.
Isla mar ahaantaana, cusbooneysiinta node-ipc 9.2.2 laan deggan, kaas oo loo isticmaalo mashruuca Vue.js, ayaa la sii daayay. Siideynta cusub, marka lagu daro peacenotwar, xirmada midabada ayaa sidoo kale lagu daray liiska ku-tiirsanaanta, qoraaga kaas oo isku-dhafan isbeddellada burburka ah ee koodka Janaayo. Shatiga isha ee sii daynta cusub ayaa laga beddelay MIT loona beddelay DBAD.
Maadaama ficilada kale ee qoraagu ay yihiin kuwo aan la saadaalin karin, isticmaalayaasha node-ipc waxaa lagula talinayaa inay hagaajiyaan ku tiirsanaanta nooca 9.2.1. Waxa kale oo lagu talinayaa in la hagaajiyo noocyada horumarka kale ee isla qoraaga ilaaliya 41 xirmo. Qaar ka mid ah xirmooyinka uu hayo isla qoraaga (js-queue, fudud-ku-soo-duuban, js-fariinta, dhacdo-pubsub) waxay leeyihiin ilaa hal milyan oo la soo dejiyo toddobaadkii.
Ku darida: Isku dayo kale ayaa la duubay si loogu daro ficilada xirmooyin kala duwan oo furan kuwaas oo aan la xiriirin shaqada tooska ah ee codsiyada oo ku xiran ciwaanada IP-ga ama nidaamka degaanka. Inta ugu badan ee aan waxyeello lahayn ee isbeddeladan (es5-ext, rete, laxanka PHP, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) waxay hoos u dhigtaa soo bandhigida wicitaanada joojinta dagaalka isticmaalayaasha Ruushka iyo Belarus. Isla mar ahaantaana, astaamo badan oo khatar ah ayaa sidoo kale la aqoonsaday, tusaale ahaan, encryptor ayaa lagu daray xirmooyinka modules-ka AWS Terraform iyo xaddidaadyo siyaasadeed ayaa la soo galiyay shatiga. Tasmota firmware ee aaladaha ESP8266 iyo ESP32 waxa ay leedahay calaamad ku dhex jirta oo xannibi karta shaqada aaladaha. Waxaa la rumeysan yahay in hawshan oo kale ay si weyn u wiiqi karto kalsoonida lagu qabo software-ka il furan.
Source: opennet.ru