Mabadiliko hasidi yaligunduliwa katika kifurushi cha nodi-ipc NPM (CVE-2022-23812), kukiwa na uwezekano wa 25% kuwa maudhui ya faili zote zilizo na ufikiaji wa kuandika hubadilishwa na herufi ya "❤️". Msimbo hasidi huwashwa tu inapozinduliwa kwenye mifumo iliyo na anwani za IP kutoka Urusi au Belarusi. Kifurushi cha node-ipc kina vipakuliwa takriban milioni moja kwa wiki na hutumiwa kama tegemezi kwa vifurushi 354, pamoja na vue-cli. Miradi yote ambayo ina node-ipc kama utegemezi pia huathiriwa na shida.
Msimbo hasidi ulichapishwa kwenye hazina ya NPM kama sehemu ya nodi-ipc 10.1.1 na 10.1.2 matoleo. Mabadiliko hasidi yalichapishwa kwenye hazina ya mradi wa Git kwa niaba ya mwandishi wa mradi siku 11 zilizopita. Nchi ilibainishwa katika msimbo kwa kupiga huduma ya api.ipgeolocation.io. Ufunguo ambao ulifikiwa kwa API ya ipgeolocation.io kutoka kwa upachikaji hasidi sasa umebatilishwa.
Katika maoni ya onyo kuhusu kuonekana kwa kanuni za kutiliwa shaka, mwandishi wa mradi huo alisema kuwa mabadiliko hayo ni sawa na kuongeza faili kwenye kompyuta ya mezani inayoonyesha ujumbe unaotaka amani. Kwa kweli, msimbo ulifanya utafutaji wa kujirudia wa saraka kwa kujaribu kubatilisha faili zote zilizokutana.
Matoleo ya node-ipc 11.0.0 na 11.1.0 baadaye yaliwekwa kwenye hazina ya NPM, ambayo ilibadilisha msimbo hasidi uliojengewa ndani na utegemezi wa nje, "peacenotwar," unaodhibitiwa na mwandishi yuleyule na kutolewa kwa kujumuishwa na watunza vifurushi wanaotaka. kujiunga na maandamano. Inaelezwa kuwa kifurushi cha vita vya amani kinaonyesha tu ujumbe kuhusu amani, lakini kwa kuzingatia hatua ambazo tayari zimechukuliwa na mwandishi, yaliyomo zaidi ya kifurushi hicho hayatabiriki na kutokuwepo kwa mabadiliko ya uharibifu hakuhakikishiwa.
Wakati huo huo, sasisho la tawi la node-ipc 9.2.2 imara, ambalo linatumiwa na mradi wa Vue.js, lilitolewa. Katika toleo jipya, pamoja na peacenotwar, kifurushi cha rangi pia kiliongezwa kwenye orodha ya utegemezi, mwandishi ambaye alijumuisha mabadiliko ya uharibifu kwenye kanuni mnamo Januari. Leseni ya chanzo cha toleo jipya imebadilishwa kutoka MIT hadi DBAD.
Kwa kuwa vitendo zaidi vya mwandishi havitabiriki, watumiaji wa node-ipc wanapendekezwa kurekebisha utegemezi kwenye toleo la 9.2.1. Inapendekezwa pia kurekebisha matoleo ya maendeleo mengine na mwandishi yuleyule ambaye alidumisha vifurushi 41. Baadhi ya vifurushi vinavyotunzwa na mwandishi yuleyule (js-foleni, mpangilio rahisi, js-message, tukio-pubsub) vina vipakuliwa takriban milioni moja kwa wiki.
Nyongeza: Majaribio mengine yamerekodiwa ili kuongeza vitendo kwenye vifurushi mbalimbali vilivyo wazi ambavyo havihusiani na utendakazi wa moja kwa moja wa programu na vimefungwa kwa anwani za IP au eneo la mfumo. Mabadiliko yasiyo na madhara zaidi kati ya haya (es5-ext, rete, mtunzi wa PHP, PHPUnit, Redis Desktop Manager, Alerts ya Awesome Prometheus, verdaccio, filesstash) hujitokeza hadi kuonyesha simu za kumaliza vita kwa watumiaji kutoka Urusi na Belarusi. Wakati huo huo, maonyesho hatari zaidi pia yanatambuliwa, kwa mfano, encryptor iliongezwa kwa vifurushi vya modules za AWS Terraform na vikwazo vya kisiasa vilianzishwa kwenye leseni. Firmware ya Tasmota ya vifaa vya ESP8266 na ESP32 ina alamisho iliyojengwa ambayo inaweza kuzuia uendeshaji wa vifaa. Inaaminika kuwa shughuli kama hiyo inaweza kudhoofisha uaminifu katika programu huria.
Chanzo: opennet.ru