Një ndryshim me qëllim të keq u zbulua në paketën node-ipc NPM (CVE-2022-23812), me një probabilitet 25% që përmbajtja e të gjithë skedarëve që kanë akses shkrimi të zëvendësohet me karakterin "❤️". Kodi me qëllim të keq aktivizohet vetëm kur lëshohet në sisteme me adresa IP nga Rusia ose Bjellorusia. Paketa node-ipc ka rreth një milion shkarkime në javë dhe përdoret si një varësi nga 354 paketa, përfshirë vue-cli. Të gjitha projektet që kanë node-ipc si varësi janë gjithashtu të prekura nga problemi.
Kodi me qëllim të keq u postua në depon e NPM si pjesë e lëshimeve të node-ipc 10.1.1 dhe 10.1.2. Një ndryshim me qëllim të keq u postua në depon e Git të projektit në emër të autorit të projektit 11 ditë më parë. Vendi u përcaktua në kod duke telefonuar shërbimin api.ipgeolocation.io. Çelësi që u aksesua në API ipgeolocation.io nga futja me qëllim të keq tani është revokuar.
Në komentet e paralajmërimit për shfaqjen e kodit të dyshimtë, autori i projektit deklaroi se ndryshimi ka të bëjë me shtimin e një skedari në desktop që shfaq një mesazh që bën thirrje për paqe. Në fakt, kodi kreu një kërkim rekurziv të drejtorive me një përpjekje për të mbishkruar të gjithë skedarët e hasur.
Lëshimet e node-ipc 11.0.0 dhe 11.1.0 u postuan më vonë në depo NPM, e cila zëvendësoi kodin e integruar me qëllim të keq me një varësi të jashtme, "peacenotwar", e kontrolluar nga i njëjti autor dhe u ofrua për t'u përfshirë nga mirëmbajtësit e paketës që dëshironin për t'iu bashkuar protestës. Thuhet se paketa paqësore tregon vetëm një mesazh për paqen, por duke marrë parasysh veprimet tashmë të ndërmarra nga autori, përmbajtja e mëtejshme e paketës është e paparashikueshme dhe mungesa e ndryshimeve shkatërruese nuk është e garantuar.
Në të njëjtën kohë, u lëshua një përditësim në degën e qëndrueshme node-ipc 9.2.2, e cila përdoret nga projekti Vue.js. Në publikimin e ri, përveç paqes pa luftë, listës së varësive iu shtua edhe paketa e ngjyrave, autori i së cilës integroi ndryshime shkatërruese në kod në janar. Licenca burimore për versionin e ri është ndryshuar nga MIT në DBAD.
Meqenëse veprimet e mëtejshme të autorit janë të paparashikueshme, përdoruesit e node-ipc rekomandohen të rregullojnë varësitë në versionin 9.2.1. Rekomandohet gjithashtu rregullimi i versioneve për zhvillime të tjera nga i njëjti autor që mbante 41 paketa. Disa nga paketat e mbajtura nga i njëjti autor (js-queue, easy-stack, js-message, event-pubsub) kanë rreth një milion shkarkime në javë.
Shtim: Janë regjistruar përpjekje të tjera për të shtuar veprime në paketa të ndryshme të hapura që nuk lidhen me funksionalitetin e drejtpërdrejtë të aplikacioneve dhe janë të lidhura me adresat IP ose vendndodhjen e sistemit. Më të padëmshmet prej këtyre ndryshimeve (es5-ext, rete, kompozitor PHP, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) zbresin në shfaqjen e thirrjeve për t'i dhënë fund luftës për përdoruesit nga Rusia dhe Bjellorusia. Në të njëjtën kohë, identifikohen edhe manifestime më të rrezikshme, për shembull, në paketat e moduleve AWS Terraform u shtua një kriptor dhe u futën kufizime politike në licencë. Firmware Tasmota për pajisjet ESP8266 dhe ESP32 ka një faqerojtës të integruar që mund të bllokojë funksionimin e pajisjeve. Besohet se një aktivitet i tillë mund të dëmtojë seriozisht besimin në softuerin me burim të hapur.
Burimi: opennet.ru