node-ipc NPM தொகுப்பில் ஒரு தீங்கிழைக்கும் மாற்றம் (CVE-2022-23812) கண்டறியப்பட்டது. எழுதக்கூடிய அணுகலுடன் கூடிய அனைத்து கோப்புகளின் உள்ளடக்கங்களையும் "❤️" சின்னத்துடன் மாற்றுவதற்கு இது 25% வாய்ப்பைக் கொண்டுள்ளது. ரஷ்யா அல்லது பெலாரஸில் உள்ள IP முகவரிகளைக் கொண்ட அமைப்புகளில் இயக்கப்படும் போது மட்டுமே தீங்கிழைக்கும் குறியீடு செயல்படுத்தப்படும். node-ipc தொகுப்பு வாரத்திற்கு தோராயமாக ஒரு மில்லியன் முறை பதிவிறக்கம் செய்யப்படுகிறது மற்றும் vue-cli உட்பட 354 தொகுப்புகளால் சார்புநிலையாகப் பயன்படுத்தப்படுகிறது. node-ipc-ஐ சார்ந்துள்ள அனைத்து திட்டங்களும் பாதிக்கப்படுகின்றன.
தீங்கிழைக்கும் குறியீடு node-ipc 10.1.1 மற்றும் 10.1.2 இன் ஒரு பகுதியாக NPM களஞ்சியத்தில் பயன்படுத்தப்பட்டது. தீங்கிழைக்கும் மாற்றம் 11 நாட்களுக்கு முன்பு திட்ட ஆசிரியரின் பெயரில் திட்டத்தின் Git களஞ்சியத்திற்கு தள்ளப்பட்டது. குறியீட்டில் உள்ள நாடு அடையாளம் api.ipgeolocation.io சேவையை அணுகுவதன் மூலம் செய்யப்பட்டது. தீங்கிழைக்கும் செருகலில் இருந்து ipgeolocation.io API ஐ அணுகப் பயன்படுத்தப்பட்ட விசை இப்போது ரத்து செய்யப்பட்டுள்ளது.
சந்தேகத்திற்கிடமான குறியீட்டைப் பற்றிய எச்சரிக்கைக்கான கருத்துகளில், திட்டத்தின் ஆசிரியர் இந்த மாற்றம் டெஸ்க்டாப்பில் அமைதிக்கான செய்தியைக் காண்பிக்கும் ஒரு கோப்பைச் சேர்ப்பதற்குச் சமம் என்று கூறினார். உண்மையில், குறியீடு ஒரு சுழல்நிலை கோப்பகப் பயணத்தைச் செய்து, எதிர்கொள்ளும் அனைத்து கோப்புகளையும் மேலெழுத முயற்சித்தது.
பின்னர், node-ipc 11.0.0 மற்றும் 11.1.0 ஆகியவை NPM களஞ்சியத்திற்கு வெளியிடப்பட்டன, உட்பொதிக்கப்பட்ட தீங்கிழைக்கும் குறியீட்டை "peacenotwar" எனப்படும் வெளிப்புற சார்புடன் மாற்றியது. இந்த சார்பு அதே ஆசிரியரால் கட்டுப்படுத்தப்படுகிறது மற்றும் போராட்டத்தில் சேர விரும்பும் தொகுப்பு பராமரிப்பாளர்களுக்கு சேர்க்க வழங்கப்படுகிறது. peacenotwar தொகுப்பு ஒரு அமைதி செய்தியை மட்டுமே காண்பிப்பதாகக் கூறப்படுகிறது, ஆனால் ஆசிரியரால் ஏற்கனவே எடுக்கப்பட்ட நடவடிக்கைகள் கொடுக்கப்பட்டால், தொகுப்பின் எதிர்கால உள்ளடக்கங்கள் கணிக்க முடியாதவை மற்றும் அழிவுகரமான மாற்றங்கள் இல்லாதது உத்தரவாதம் அளிக்கப்படவில்லை.
அதே நேரத்தில், Vue.js திட்டத்தால் பயன்படுத்தப்படும் நிலையான முனை-ஐபிசி 9.2.2 கிளைக்கான புதுப்பிப்பு வெளியிடப்பட்டது. பீஸ்நோட்வாருடன் கூடுதலாக, புதிய வெளியீடு அதன் சார்புகளில் வண்ணத் தொகுப்பையும் சேர்த்தது. அதன் ஆசிரியர் ஜனவரியில் குறியீட்டில் அழிவுகரமான மாற்றங்களை ஒருங்கிணைத்தார். புதிய வெளியீட்டிற்கான மூலக் குறியீடு உரிமம் MIT இலிருந்து DBAD க்கு மாற்றப்பட்டது.
ஆசிரியரின் எதிர்கால நடவடிக்கைகள் கணிக்க முடியாதவை என்பதால், node-ipc பயனர்கள் தங்கள் சார்புகளை பதிப்பு 9.2.1 இல் பூட்டுமாறு அறிவுறுத்தப்படுகிறார்கள். 41 தொகுப்புகளைப் பராமரிக்கும் அதே ஆசிரியரால், பிற மேம்பாடுகளுக்கும் பதிப்புகளைப் பூட்டுதல் பரிந்துரைக்கப்படுகிறது. அதே ஆசிரியரால் பராமரிக்கப்படும் சில தொகுப்புகள் (js-queue, easy-stack, js-message, event-pubsub) வாரத்திற்கு தோராயமாக ஒரு மில்லியன் முறை பதிவிறக்கம் செய்யப்படுகின்றன.
கூட்டல்: பயன்பாடுகளின் நேரடி செயல்பாட்டுடன் தொடர்பில்லாத மற்றும் பிணைக்கப்பட்ட பல்வேறு திறந்த தொகுப்புகளில் செயல்களைச் சேர்க்கும் பிற முயற்சிகள் ஐபி முகவரிகள் அல்லது கணினி இருப்பிடம். இந்த மாற்றங்களில் மிகவும் தீங்கற்றது (es5-ext, rete, PHP இசையமைப்பாளர், PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) ரஷ்யா மற்றும் பெலாரஸில் உள்ள பயனர்களுக்கு போரை முடிவுக்குக் கொண்டுவருவதற்கான அழைப்புகளைக் காண்பிப்பதாகும். இருப்பினும், AWS Terraform தொகுதிகளில் ransomware சேர்க்கப்பட்டது மற்றும் உரிமத்தில் சேர்க்கப்பட்ட அரசியல் கட்டுப்பாடுகள் போன்ற மிகவும் ஆபத்தான வெளிப்பாடுகளும் அடையாளம் காணப்பட்டுள்ளன. ESP8266 மற்றும் ESP32 சாதனங்களுக்கான Tasmota firmware சாதன செயல்பாட்டைத் தடுக்கும் திறன் கொண்ட ஒரு பின்புறக் கதவைக் கொண்டுள்ளது. இத்தகைய செயல்பாடு திறந்த மூல மென்பொருளின் மீதான நம்பிக்கையை கடுமையாகக் குறைமதிப்பிற்கு உட்படுத்தும் என்று நம்பப்படுகிறது.
ஆதாரம்: opennet.ru
