Дар бастаи node-ipc NPM (CVE-2022-23812) тағироти зараровар ошкор карда шуд, ки эҳтимоли 25%, ки мундариҷаи ҳамаи файлҳое, ки дастрасии навиштан доранд, бо аломати "❤️" иваз карда мешаванд. Рамзи зараровар танҳо вақте фаъол карда мешавад, ки дар системаҳои дорои суроғаҳои IP аз Русия ё Белорус. Бастаи node-ipc дар як ҳафта тақрибан як миллион боргирӣ дорад ва ҳамчун вобастагӣ аз 354 баста, аз ҷумла vue-cli истифода мешавад. Ҳама лоиҳаҳое, ки node-ipc ҳамчун вобастагӣ доранд, инчунин аз мушкилот дучор мешаванд.
Рамзи зараровар дар анбори NPM ҳамчун як қисми версияҳои node-ipc 10.1.1 ва 10.1.2 ҷойгир карда шуд. 11 рӯз пеш аз номи муаллифи лоиҳа ба анбори Git-и лоиҳа тағйироти бадқасдона ворид карда шуд. Мамлакат дар код тавассути занг задан ба хидмати api.ipgeolocation.io муайян карда шуд. Калиде, ки ба API-и ipgeolocation.io аз воридкунии зараровар дастрас шуда буд, ҳоло бекор карда шуд.
Дар шарҳҳои огоҳӣ дар бораи пайдо шудани коди шубҳанок, муаллифи лоиҳа изҳор дошт, ки ин тағирот илова кардани файл ба мизи корӣ мебошад, ки паёмеро ба сулҳ даъват мекунад. Дар асл, код ҷустуҷӯи рекурсивии феҳристҳоро бо кӯшиши аз нав навиштани ҳамаи файлҳои дучоршуда анҷом дод.
Варақаҳои node-ipc 11.0.0 ва 11.1.0 баъдтар дар анбори NPM ҷойгир карда шуданд, ки рамзи дарунсохтро бо вобастагии беруна, "peacenotwar" иваз кард, ки аз ҷониби худи ҳамон муаллиф назорат карда мешавад ва аз ҷониби нигоҳдорони бастаҳо, ки хоҳиш доранд, барои дохил кардан пешниҳод карда шуданд. ки ба эътироз хамрох шаванд. Гуфта мешавад, ки дар бастаи сулхнома танхо дар бораи сулху осоиш хабар дода мешавад, вале бо назардошти амалиёти аллакай андешидаи муаллиф мазмуни минбаъдаи бастаро пешгуй кардан мумкин нест ва ба вучуд наомадани дигаргунихои харобиовар кафолат дода намешавад.
Ҳамзамон, навсозии филиали устувори node-ipc 9.2.2, ки аз ҷониби лоиҳаи Vue.js истифода мешавад, бароварда шуд. Дар нашри нав, ба ғайр аз сулҳомез, бастаи рангҳо низ ба рӯйхати вобастагӣ илова карда шуд, ки муаллифи он дар моҳи январ тағйироти харобиоварро ба код ворид кардааст. Литсензияи сарчашма барои нашри нав аз MIT ба DBAD иваз карда шуд.
Азбаски амалҳои минбаъдаи муаллиф пешгӯинашавандаанд, ба корбарони node-ipc тавсия дода мешавад, ки вобастагиҳоро аз версияи 9.2.1 ислоҳ кунанд. Инчунин тавсия дода мешавад, ки версияҳои таҳаввулоти дигар аз ҷониби ҳамон муаллифе, ки 41 бастаро нигоҳ дошт, ислоҳ карда шаванд. Баъзе бастаҳое, ки аз ҷониби як муаллиф нигоҳ дошта мешаванд (js-queue, easy-stack, js-message, event-pubsub) дар як ҳафта тақрибан як миллион боргирӣ доранд.
Илова: Кӯшишҳои дигар барои илова кардани амалҳо ба бастаҳои кушодаи гуногун сабт шудаанд, ки ба фаъолияти мустақими барномаҳо алоқаманд нестанд ва ба суроғаҳои IP ё маҳалли система алоқаманданд. Безарартарини ин тағиротҳо (es5-ext, rete, composer PHP, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) ба намоиши зангҳо барои хотима додани ҷанг барои корбарон аз Русия ва Белорус дохил мешаванд. Ҳамзамон, зуҳуроти хатарноктар низ муайян карда мешаванд, масалан, ба бастаҳои модулҳои AWS Terraform рамзгузор илова карда шуд ва ба иҷозатнома маҳдудиятҳои сиёсӣ ҷорӣ карда шуданд. Нармафзори Tasmota барои дастгоҳҳои ESP8266 ва ESP32 дорои хатчӯби дарунсохтест, ки метавонад кори дастгоҳҳоро боздорад. Гумон меравад, ки чунин фаъолият метавонад эътимод ба нармафзори кушодаасосро ба таври ҷиддӣ коҳиш диҳад.
Манбаъ: opennet.ru