node-ipc NPM ప్యాకేజీ (CVE-2022-23812)లో హానికరమైన మార్పు కనుగొనబడింది, వ్రాత యాక్సెస్ ఉన్న అన్ని ఫైల్ల కంటెంట్లు “❤️” అక్షరంతో భర్తీ చేయబడే 25% సంభావ్యతతో. రష్యా లేదా బెలారస్ నుండి IP చిరునామాలతో సిస్టమ్లలో ప్రారంభించబడినప్పుడు మాత్రమే హానికరమైన కోడ్ సక్రియం చేయబడుతుంది. నోడ్-ఐపిసి ప్యాకేజీ వారానికి దాదాపు మిలియన్ డౌన్లోడ్లను కలిగి ఉంది మరియు వ్యూ-క్లితో సహా 354 ప్యాకేజీలపై డిపెండెన్సీగా ఉపయోగించబడుతుంది. node-ipcని డిపెండెన్సీలుగా కలిగి ఉన్న అన్ని ప్రాజెక్ట్లు కూడా సమస్య ద్వారా ప్రభావితమవుతాయి.
నోడ్-ipc 10.1.1 మరియు 10.1.2 విడుదలలలో భాగంగా హానికరమైన కోడ్ NPM రిపోజిటరీకి పోస్ట్ చేయబడింది. ప్రాజెక్ట్ రచయిత తరపున 11 రోజుల క్రితం ప్రాజెక్ట్ యొక్క Git రిపోజిటరీకి హానికరమైన మార్పు పోస్ట్ చేయబడింది. api.ipgeolocation.io సేవకు కాల్ చేయడం ద్వారా దేశం కోడ్లో నిర్ణయించబడింది. హానికరమైన ఎంబెడ్ నుండి ipgeolocation.io APIకి యాక్సెస్ చేయబడిన కీ ఇప్పుడు ఉపసంహరించబడింది.
సందేహాస్పద కోడ్ కనిపించడం గురించి హెచ్చరికకు చేసిన వ్యాఖ్యలలో, ప్రాజెక్ట్ యొక్క రచయిత ఈ మార్పు డెస్క్టాప్కు ఫైల్ను జోడించడంతోపాటు శాంతి కోసం పిలుపునిచ్చే సందేశాన్ని ప్రదర్శిస్తుందని పేర్కొన్నారు. వాస్తవానికి, కోడ్ ఎదురైన అన్ని ఫైల్లను ఓవర్రైట్ చేసే ప్రయత్నంతో డైరెక్టరీల పునరావృత శోధనను నిర్వహించింది.
node-ipc 11.0.0 మరియు 11.1.0 యొక్క విడుదలలు తరువాత NPM రిపోజిటరీకి పోస్ట్ చేయబడ్డాయి, ఇది అంతర్నిర్మిత హానికరమైన కోడ్ను బాహ్య డిపెండెన్సీతో భర్తీ చేసింది, "పీస్నోట్వార్" అదే రచయితచే నియంత్రించబడుతుంది మరియు ప్యాకేజీని నిర్వహించే వారిచే చేర్చబడుతుంది. నిరసనలో చేరడానికి. పీస్నోట్వార్ ప్యాకేజీ శాంతి గురించిన సందేశాన్ని మాత్రమే ప్రదర్శిస్తుందని పేర్కొనబడింది, అయితే రచయిత ఇప్పటికే తీసుకున్న చర్యలను పరిగణనలోకి తీసుకుంటే, ప్యాకేజీలోని తదుపరి విషయాలు అనూహ్యమైనవి మరియు విధ్వంసక మార్పులు లేకపోవడం హామీ ఇవ్వబడదు.
అదే సమయంలో, Vue.js ప్రాజెక్ట్ ద్వారా ఉపయోగించబడే స్థిరమైన నోడ్-ipc 9.2.2 బ్రాంచ్కి నవీకరణ విడుదల చేయబడింది. కొత్త విడుదలలో, శాంతినోట్వార్తో పాటు, కలర్స్ ప్యాకేజీ కూడా డిపెండెన్సీల జాబితాకు జోడించబడింది, దీని రచయిత జనవరిలో కోడ్లో విధ్వంసక మార్పులను ఏకీకృతం చేశారు. కొత్త విడుదల కోసం సోర్స్ లైసెన్స్ MIT నుండి DBADకి మార్చబడింది.
రచయిత యొక్క తదుపరి చర్యలు అనూహ్యమైనవి కాబట్టి, node-ipc వినియోగదారులు వెర్షన్ 9.2.1పై డిపెండెన్సీలను పరిష్కరించడానికి సిఫార్సు చేయబడతారు. 41 ప్యాకేజీలను నిర్వహించే అదే రచయిత ఇతర డెవలప్మెంట్ల కోసం సంస్కరణలను సరిచేయమని కూడా సిఫార్సు చేయబడింది. అదే రచయిత నిర్వహించే కొన్ని ప్యాకేజీలు (js-క్యూ, ఈజీ-స్టాక్, js-మెసేజ్, ఈవెంట్-పబ్సబ్) వారానికి దాదాపు మిలియన్ డౌన్లోడ్లను కలిగి ఉంటాయి.
అదనంగా: అప్లికేషన్ల ప్రత్యక్ష కార్యాచరణకు సంబంధం లేని మరియు IP చిరునామాలు లేదా సిస్టమ్ లొకేల్తో ముడిపడి ఉన్న వివిధ ఓపెన్ ప్యాకేజీలకు చర్యలను జోడించడానికి ఇతర ప్రయత్నాలు రికార్డ్ చేయబడ్డాయి. ఈ మార్పులలో అత్యంత ప్రమాదకరం కానివి (es5-ext, rete, PHP కంపోజర్, PHPUnit, Redis డెస్క్టాప్ మేనేజర్, అద్భుతం ప్రోమేథియస్ హెచ్చరికలు, verdaccio, filestash) రష్యా మరియు బెలారస్ నుండి వినియోగదారులకు యుద్ధాన్ని ముగించడానికి కాల్లను ప్రదర్శించడం వరకు తగ్గాయి. అదే సమయంలో, మరింత ప్రమాదకరమైన వ్యక్తీకరణలు కూడా గుర్తించబడ్డాయి, ఉదాహరణకు, AWS టెర్రాఫార్మ్ మాడ్యూల్స్ ప్యాకేజీలకు ఎన్క్రిప్టర్ జోడించబడింది మరియు లైసెన్స్లో రాజకీయ పరిమితులు ప్రవేశపెట్టబడ్డాయి. ESP8266 మరియు ESP32 పరికరాల కోసం Tasmota ఫర్మ్వేర్ పరికరాల ఆపరేషన్ను నిరోధించగల అంతర్నిర్మిత బుక్మార్క్ను కలిగి ఉంది. ఇటువంటి చర్య ఓపెన్ సోర్స్ సాఫ్ట్వేర్పై నమ్మకాన్ని తీవ్రంగా దెబ్బతీస్తుందని నమ్ముతారు.
మూలం: opennet.ru