En skadlig ändring upptäcktes i node-ipc NPM-paketet (CVE-2022-23812), med en 25 % sannolikhet att innehållet i alla filer som har skrivåtkomst ersätts med tecknet "❤️". Den skadliga koden aktiveras endast när den startas på system med IP-adresser från Ryssland eller Vitryssland. Node-ipc-paketet har cirka en miljon nedladdningar per vecka och används som ett beroende av 354 paket, inklusive vue-cli. Alla projekt som har node-ipc som beroenden påverkas också av problemet.
Den skadliga koden postades till NPM-förvaret som en del av node-ipc 10.1.1 och 10.1.2-versionerna. En skadlig ändring postades i projektets Git-förråd på uppdrag av projektets författare för 11 dagar sedan. Landet bestämdes i koden genom att anropa tjänsten api.ipgeolocation.io. Nyckeln som fick åtkomst till ipgeolocation.io API från den skadliga inbäddningen har nu återkallats.
I kommentarerna till varningen om uppkomsten av tvivelaktig kod, uppgav författaren till projektet att förändringen innebär att man lägger till en fil på skrivbordet som visar ett meddelande som uppmanar till fred. Faktum är att koden genomförde en rekursiv sökning av kataloger med ett försök att skriva över alla filer som påträffades.
Utgåvor av node-ipc 11.0.0 och 11.1.0 postades senare till NPM-förvaret, som ersatte den inbyggda skadliga koden med ett externt beroende, "peacenotwar", som kontrolleras av samma författare och erbjuds för inkludering av paketunderhållare som önskar att gå med i protesten. Det sägs att peacenotwar-paketet bara visar ett budskap om fred, men med hänsyn till de åtgärder som redan vidtagits av författaren är det ytterligare innehållet i paketet oförutsägbart och frånvaron av destruktiva förändringar är inte garanterad.
Samtidigt släpptes en uppdatering av den stabila node-ipc 9.2.2-grenen, som används av Vue.js-projektet. I den nya utgåvan lades färgpaketet, förutom peacenotwar, också till listan över beroenden, vars författare integrerade destruktiva ändringar i koden i januari. Källlicensen för den nya utgåvan har ändrats från MIT till DBAD.
Eftersom författarens vidare åtgärder är oförutsägbara, rekommenderas node-ipc-användare att fixa beroenden på version 9.2.1. Det rekommenderas också att fixa versioner för andra utvecklingar av samma författare som underhållit 41 paket. Vissa av paketen som underhålls av samma författare (js-queue, easy-stack, js-message, event-pubsub) har ungefär en miljon nedladdningar per vecka.
Tillägg: Andra försök har registrerats för att lägga till åtgärder till olika öppna paket som inte är relaterade till applikationernas direkta funktionalitet och är knutna till IP-adresser eller systemlokal. De mest ofarliga av dessa förändringar (es5-ext, rete, PHP-kompositör, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) handlar om att visa samtal för att avsluta kriget för användare från Ryssland och Vitryssland. Samtidigt identifieras också farligare manifestationer, till exempel lades en kryptering till AWS Terraform-modulpaketen och politiska restriktioner infördes i licensen. Tasmota firmware för ESP8266- och ESP32-enheter har ett inbyggt bokmärke som kan blockera driften av enheter. Man tror att sådan verksamhet allvarligt kan undergräva förtroendet för programvara med öppen källkod.
Källa: opennet.ru