Parobihan jahat dideteksi dina pakét NPM node-ipc (CVE-2022-23812), kalayan kamungkinan 25% yén eusi sadaya file anu gaduh aksés tulis diganti ku karakter "❤️". Kodeu jahat diaktipkeun ngan nalika diluncurkeun dina sistem nganggo alamat IP ti Rusia atanapi Bélarus. Paket node-ipc gaduh sakitar sajuta undeuran per minggu sareng dianggo salaku gumantungna kana 354 bungkusan, kalebet vue-cli. Sadaya proyék anu gaduh node-ipc salaku dependensi ogé kapangaruhan ku masalah.
Kodeu jahat ieu dipasang ka gudang NPM salaku bagian tina node-ipc 10.1.1 jeung 10.1.2 release. Parobihan jahat dipasang ka gudang Git proyék atas nama panulis proyék 11 dinten ka pengker. Nagara ieu ditangtukeun dina kode ku nelepon layanan api.ipgeolocation.io. Konci anu diaksés kana API ipgeolocation.io tina embed jahat ayeuna parantos dicabut.
Dina koméntar kana peringatan ngeunaan penampilan kode anu diragukeun, panulis proyék nyatakeun yén parobihan jumlahna nambihan file kana desktop anu nampilkeun pesen anu nyebatkeun perdamaian. Kanyataanna, kode dilumangsungkeun pilarian recursive of directories kalawan usaha pikeun nimpa sakabéh file encountered.
Kaluaran engké tina node-ipc 11.0.0 sareng 11.1.0 dipasang ka Repositori NPM, anu ngagentos kode jahat anu diwangun ku katergantungan éksternal, "peacenotwar," dikawasa ku panulis anu sami sareng ditawarkeun pikeun dilebetkeun ku pakét pangropéa anu hoyong. milu protés. Disebutkeun yén pakét peacenotwar ngan ukur nampilkeun pesen ngeunaan katengtreman, tapi ngémutan tindakan anu parantos dilakukeun ku pangarang, eusi pakét salajengna henteu tiasa diprediksi sareng henteuna parobahan anu ngancurkeun henteu dijamin.
Dina waktos anu sami, update kana cabang stabil node-ipc 9.2.2, anu dianggo ku proyék Vue.js, dileupaskeun. Dina sékrési anyar, salian peacenotwar, pakét kelir ogé ditambahkeun kana daptar kagumantungan, panulis nu ngahijikeun parobahan destructive kana kode dina Januari. Lisensi sumber pikeun sékrési énggal parantos dirobih tina MIT ka DBAD.
Kusabab lampah pangarang salajengna teu bisa diprediksi, pamaké node-ipc dianjurkeun pikeun ngalereskeun dependensi dina versi 9.2.1. Disarankeun ogé ngalereskeun versi pikeun pamekaran sanés ku panulis anu sami anu ngajaga 41 bungkusan. Sababaraha bungkusan anu diurus ku panulis anu sami (js-queue, easy-stack, js-message, event-pubsub) gaduh sakitar sajuta unduhan per minggu.
Tambihan: Usaha sanésna parantos dirékam pikeun nambihan tindakan kana sababaraha bungkusan kabuka anu henteu aya hubunganana sareng fungsionalitas langsung aplikasi sareng dihijikeun ka alamat IP atanapi lokal sistem. Paling bahya tina parobahan ieu (es5-ext, rete, komposer PHP, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) kulub handap pikeun mintonkeun telepon pikeun ngeureunkeun perang pikeun pamaké ti Rusia jeung Bélarus. Dina waktu nu sarua, manifestasi leuwih bahaya ogé dicirikeun, contona, hiji encryptor ditambahkeun kana bungkusan AWS Terraform modul jeung larangan pulitik diwanohkeun kana lisénsi nu. Firmware Tasmota pikeun alat ESP8266 sareng ESP32 ngagaduhan tetengger anu diwangun anu tiasa ngahalangan operasi alat. Hal ieu dipercaya yén kagiatan sapertos serius tiasa ngaruksak kapercayaan dina software open source.
sumber: opennet.ru