Откривена је злонамерна промена у пакету ноде-ипц НПМ (ЦВЕ-2022-23812), са вероватноћом од 25% да ће садржај свих датотека које имају приступ за писање бити замењен знаком „❤“. Злонамерни код се активира само када се покрене на системима са ИП адресама из Русије или Белорусије. Ноде-ипц пакет има око милион преузимања недељно и користи се као зависност од 354 пакета, укључујући вуе-цли. Сви пројекти који имају чвор-ипц као зависности су такође погођени проблемом.
Злонамерни код је постављен у НПМ спремиште као део издања ноде-ипц 10.1.1 и 10.1.2. Злонамерна промена је постављена у Гит репозиторијум пројекта у име аутора пројекта пре 11 дана. Држава је одређена у коду позивањем сервиса апи.ипгеолоцатион.ио. Кључ којем се приступило АПИ-ју ипгеолоцатион.ио из злонамерног уграђивања сада је опозвано.
У коментарима на упозорење о појави сумњивог кода, аутор пројекта је навео да се промена своди на додавање фајла на десктоп који приказује поруку која позива на мир. У ствари, код је извршио рекурзивну претрагу директоријума са покушајем да препише све датотеке на које се наиђе.
Издања ноде-ипц 11.0.0 и 11.1.0 су касније постављена у НПМ спремиште, што је заменило уграђени злонамерни код спољном зависношћу, „пеаценотвар“, коју контролише исти аутор и коју је понудио за укључивање одржавачима пакета који желе да се придружи протесту. Наводи се да мировно-ратни пакет само приказује поруку о миру, али с обзиром на радње које је аутор већ предузео, даљи садржај пакета је непредвидив и одсуство деструктивних промена није загарантовано.
Истовремено, објављено је ажурирање стабилне гране ноде-ипц 9.2.2, коју користи пројекат Вуе.јс. У новом издању, поред мировног рата, на листу зависности је додат и пакет боја, чији је аутор у јануару интегрисао деструктивне промене у код. Изворна лиценца за ново издање је промењена из МИТ у ДБАД.
Пошто су даље радње аутора непредвидиве, корисницима ноде-ипц се препоручује да поправе зависности од верзије 9.2.1. Такође се препоручује да се поправе верзије за друге развојне верзије истог аутора који је одржавао 41 пакет. Неки од пакета које одржава исти аутор (јс-куеуе, еаси-стацк, јс-мессаге, евент-пубсуб) имају око милион преузимања недељно.
Додатак: Забележени су и други покушаји додавања акција разним отвореним пакетима који нису повезани са директном функционалношћу апликација и везани су за ИП адресе или локализацију система. Најбезопасније од ових промена (ес5-ект, рете, ПХП цомпосер, ПХПУнит, Редис Десктоп Манагер, Авесоме Прометхеус Алертс, вердаццио, филестасх) своде се на приказивање позива за окончање рата за кориснике из Русије и Белорусије. Истовремено, идентификоване су и опасније манифестације, на пример, додат је енкриптор у пакете АВС Терраформ модула и политичка ограничења су уведена у лиценцу. Тасмота фирмвер за ЕСП8266 и ЕСП32 уређаје има уграђени обележивач који може блокирати рад уређаја. Верује се да би таква активност могла озбиљно да поткопа поверење у софтвер отвореног кода.
Извор: опеннет.ру