node-ipc NPM தொகுப்பில் (CVE-2022-23812) தீங்கிழைக்கும் மாற்றம் கண்டறியப்பட்டது, 25% நிகழ்தகவு, எழுத்து அணுகல் உள்ள அனைத்து கோப்புகளின் உள்ளடக்கங்களும் "❤️" எழுத்துடன் மாற்றப்படும். ரஷ்யா அல்லது பெலாரஸில் இருந்து ஐபி முகவரிகள் கொண்ட கணினிகளில் தொடங்கப்படும் போது மட்டுமே தீங்கிழைக்கும் குறியீடு செயல்படுத்தப்படுகிறது. நோட்-ஐபிசி தொகுப்பு வாரத்திற்கு ஒரு மில்லியன் பதிவிறக்கங்களைக் கொண்டுள்ளது, மேலும் இது 354 தொகுப்புகளின் சார்புநிலையாகப் பயன்படுத்தப்படுகிறது. நோட்-ஐபிசியை சார்புகளாகக் கொண்ட அனைத்து திட்டங்களும் சிக்கலால் பாதிக்கப்படுகின்றன.
நோட்-ஐபிசி 10.1.1 மற்றும் 10.1.2 வெளியீடுகளின் ஒரு பகுதியாக தீங்கிழைக்கும் குறியீடு NPM களஞ்சியத்தில் இடுகையிடப்பட்டது. 11 நாட்களுக்கு முன்பு திட்டத்தின் ஆசிரியரின் சார்பாக திட்டத்தின் Git களஞ்சியத்தில் தீங்கிழைக்கும் மாற்றம் இடுகையிடப்பட்டது. api.ipgeolocation.io சேவையை அழைப்பதன் மூலம் குறியீட்டில் நாடு தீர்மானிக்கப்பட்டது. தீங்கிழைக்கும் உட்பொதிவிலிருந்து ipgeolocation.io API க்கு அணுகப்பட்ட விசை இப்போது திரும்பப் பெறப்பட்டது.
சந்தேகத்திற்குரிய குறியீட்டின் தோற்றம் குறித்த எச்சரிக்கைக்கான கருத்துகளில், திட்டத்தின் ஆசிரியர், இந்த மாற்றம் டெஸ்க்டாப்பில் ஒரு கோப்பைச் சேர்ப்பதற்கு சமம் என்று கூறினார், அது அமைதிக்கான செய்தியைக் காட்டுகிறது. உண்மையில், குறியீடானது கோப்பகங்களின் சுழல்நிலைத் தேடலை மேற்கொண்டது, எதிர்கொண்ட அனைத்து கோப்புகளையும் மேலெழுத முயற்சிக்கிறது.
node-ipc 11.0.0 மற்றும் 11.1.0 இன் வெளியீடுகள் பின்னர் NPM களஞ்சியத்தில் வெளியிடப்பட்டன, இது உள்ளமைக்கப்பட்ட தீங்கிழைக்கும் குறியீட்டை வெளிப்புற சார்புநிலையான "peacenotwar" மூலம் மாற்றியது, அதே ஆசிரியரால் கட்டுப்படுத்தப்பட்டது மற்றும் தொகுப்பு பராமரிப்பாளர்களால் சேர்க்கப்பட்டது. போராட்டத்தில் கலந்து கொள்ள. பீஸ்நோட்வார் தொகுப்பு அமைதி பற்றிய செய்தியை மட்டுமே காட்டுகிறது, ஆனால் ஏற்கனவே ஆசிரியரால் எடுக்கப்பட்ட செயல்களை கணக்கில் எடுத்துக்கொண்டால், தொகுப்பின் மேலும் உள்ளடக்கங்கள் கணிக்க முடியாதவை மற்றும் அழிவுகரமான மாற்றங்கள் இல்லாதது உத்தரவாதம் இல்லை.
அதே நேரத்தில், Vue.js திட்டத்தால் பயன்படுத்தப்படும் நிலையான நோட்-ஐபிசி 9.2.2 கிளைக்கான புதுப்பிப்பு வெளியிடப்பட்டது. புதிய வெளியீட்டில், பீஸ்நோட்வார்க்கு கூடுதலாக, நிறங்கள் தொகுப்பு சார்புகளின் பட்டியலில் சேர்க்கப்பட்டது, இதன் ஆசிரியர் ஜனவரியில் குறியீட்டில் அழிவுகரமான மாற்றங்களை ஒருங்கிணைத்தார். புதிய வெளியீட்டிற்கான மூல உரிமம் MIT இலிருந்து DBADக்கு மாற்றப்பட்டுள்ளது.
ஆசிரியரின் மேலும் செயல்கள் கணிக்க முடியாதவை என்பதால், node-ipc பயனர்கள் பதிப்பு 9.2.1 இல் சார்புகளை சரிசெய்ய பரிந்துரைக்கப்படுகிறார்கள். 41 தொகுப்புகளைப் பராமரித்த அதே ஆசிரியரின் பிற மேம்பாடுகளுக்கான பதிப்புகளைச் சரிசெய்யவும் பரிந்துரைக்கப்படுகிறது. அதே ஆசிரியரால் பராமரிக்கப்படும் சில தொகுப்புகள் (js-queue, easy-stack, js-message, Event-pubsub) வாரத்திற்கு ஒரு மில்லியன் பதிவிறக்கங்கள்.
சேர்த்தல்: பயன்பாடுகளின் நேரடி செயல்பாட்டிற்குத் தொடர்பில்லாத மற்றும் ஐபி முகவரிகள் அல்லது சிஸ்டம் லோகேலுடன் இணைக்கப்பட்ட பல்வேறு திறந்த தொகுப்புகளில் செயல்களைச் சேர்க்க மற்ற முயற்சிகள் பதிவு செய்யப்பட்டுள்ளன. இந்த மாற்றங்களில் மிகவும் பாதிப்பில்லாதவை (es5-ext, rete, PHP இசையமைப்பாளர், PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) ரஷ்யா மற்றும் பெலாரஸ் பயனர்களுக்கு போரை முடிவுக்குக் கொண்டுவருவதற்கான அழைப்புகளைக் காண்பிக்கும். அதே நேரத்தில், மிகவும் ஆபத்தான வெளிப்பாடுகளும் அடையாளம் காணப்படுகின்றன, எடுத்துக்காட்டாக, AWS டெர்ராஃபார்ம் தொகுதிகள் தொகுப்புகளில் ஒரு குறியாக்கி சேர்க்கப்பட்டது மற்றும் உரிமத்தில் அரசியல் கட்டுப்பாடுகள் அறிமுகப்படுத்தப்பட்டன. ESP8266 மற்றும் ESP32 சாதனங்களுக்கான டாஸ்மோட்டா ஃபார்ம்வேர் சாதனங்களின் செயல்பாட்டைத் தடுக்கக்கூடிய உள்ளமைக்கப்பட்ட புக்மார்க்கைக் கொண்டுள்ளது. இத்தகைய செயல்பாடு திறந்த மூல மென்பொருளின் மீதான நம்பிக்கையை கடுமையாக குறைமதிப்பிற்கு உட்படுத்தும் என்று நம்பப்படுகிறது.
ஆதாரம்: opennet.ru