โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > มีการเปลี่ยนแปลงที่เป็นอันตรายกับแพ็คเกจ node-ipc NPM ที่ลบไฟล์บนระบบในรัสเซียและเบลารุส

มีการเปลี่ยนแปลงที่เป็นอันตรายกับแพ็คเกจ node-ipc NPM ที่ลบไฟล์บนระบบในรัสเซียและเบลารุส

ตรวจพบการเปลี่ยนแปลงที่เป็นอันตรายในแพ็คเกจ node-ipc NPM (CVE-2022-23812) โดยมีโอกาส 25% ที่เนื้อหาของไฟล์ทั้งหมดที่มีสิทธิ์ในการเขียนจะถูกแทนที่ด้วยอักขระ “❤️” โค้ดที่เป็นอันตรายจะเปิดใช้งานเฉพาะเมื่อเปิดใช้งานบนระบบที่มีที่อยู่ IP จากรัสเซียหรือเบลารุส แพ็คเกจ node-ipc มีการดาวน์โหลดประมาณล้านครั้งต่อสัปดาห์ และถูกใช้เป็นการพึ่งพาแพ็คเกจ 354 รวมถึง vue-cli โปรเจ็กต์ทั้งหมดที่มี node-ipc เป็นการพึ่งพาจะได้รับผลกระทบจากปัญหาเช่นกัน

โค้ดที่เป็นอันตรายถูกโพสต์ไปยังพื้นที่เก็บข้อมูล NPM โดยเป็นส่วนหนึ่งของการเผยแพร่ node-ipc 10.1.1 และ 10.1.2 การเปลี่ยนแปลงที่เป็นอันตรายถูกโพสต์ไปยังพื้นที่เก็บข้อมูล Git ของโครงการในนามของผู้เขียนโครงการเมื่อ 11 วันที่ผ่านมา ประเทศถูกกำหนดในโค้ดโดยการเรียกใช้บริการ api.ipgeolocation.io คีย์ที่เข้าถึง ipgeolocation.io API จากการฝังที่เป็นอันตรายได้ถูกเพิกถอนแล้ว

ในความคิดเห็นต่อคำเตือนเกี่ยวกับการปรากฏตัวของรหัสที่น่าสงสัย ผู้เขียนโครงการระบุว่าการเปลี่ยนแปลงดังกล่าวเท่ากับการเพิ่มไฟล์บนเดสก์ท็อปที่แสดงข้อความเรียกร้องให้มีสันติภาพ ในความเป็นจริง โค้ดดำเนินการค้นหาไดเร็กทอรีแบบเรียกซ้ำโดยพยายามเขียนทับไฟล์ทั้งหมดที่พบ

การเผยแพร่ node-ipc 11.0.0 และ 11.1.0 ต่อมาถูกโพสต์ไปยังพื้นที่เก็บข้อมูล NPM ซึ่งแทนที่โค้ดที่เป็นอันตรายในตัวด้วยการพึ่งพาภายนอก “peacenotwar” ซึ่งควบคุมโดยผู้เขียนคนเดียวกัน และเสนอให้รวมโดยผู้ดูแลแพ็คเกจที่ต้องการ เพื่อเข้าร่วมการประท้วง มีการระบุว่าแพ็คเกจ Peacenotwar จะแสดงเฉพาะข้อความเกี่ยวกับสันติภาพ แต่เมื่อคำนึงถึงการกระทำที่ผู้เขียนได้ดำเนินการไปแล้ว เนื้อหาเพิ่มเติมของแพ็คเกจนั้นไม่สามารถคาดเดาได้ และไม่รับประกันว่าจะไม่มีการเปลี่ยนแปลงแบบทำลายล้าง

ในเวลาเดียวกัน การอัปเดตสาขา node-ipc 9.2.2 ที่เสถียรซึ่งใช้โดยโปรเจ็กต์ Vue.js ได้รับการเผยแพร่แล้ว ในรุ่นใหม่ นอกเหนือจาก Peacenotwar แล้ว แพ็คเกจสียังถูกเพิ่มเข้าไปในรายการการขึ้นต่อกัน ซึ่งผู้เขียนได้รวมการเปลี่ยนแปลงแบบทำลายล้างเข้ากับโค้ดในเดือนมกราคม ใบอนุญาตต้นทางสำหรับรุ่นใหม่ได้เปลี่ยนจาก MIT เป็น DBAD

เนื่องจากการดำเนินการเพิ่มเติมของผู้เขียนนั้นไม่สามารถคาดเดาได้ จึงแนะนำให้ผู้ใช้ node-ipc แก้ไขการขึ้นต่อกันในเวอร์ชัน 9.2.1 ขอแนะนำให้แก้ไขเวอร์ชันสำหรับการพัฒนาอื่น ๆ โดยผู้เขียนคนเดียวกันที่ดูแล 41 แพ็คเกจ แพ็คเกจบางส่วนที่ดูแลโดยผู้เขียนคนเดียวกัน (js-queue, easy-stack, js-message, event-pubsub) มีการดาวน์โหลดประมาณล้านครั้งต่อสัปดาห์

เพิ่มเติม: มีการบันทึกความพยายามอื่นๆ เพื่อเพิ่มการดำเนินการไปยังแพ็คเกจเปิดต่างๆ ที่ไม่เกี่ยวข้องกับการทำงานโดยตรงของแอปพลิเคชัน และเชื่อมโยงกับที่อยู่ IP หรือภาษาของระบบ การเปลี่ยนแปลงที่ไม่เป็นอันตรายที่สุด (es5-ext, rete, ผู้แต่ง PHP, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) จะแสดงการเรียกร้องให้ยุติสงครามสำหรับผู้ใช้จากรัสเซียและเบลารุส ในเวลาเดียวกัน ยังมีการระบุอาการที่เป็นอันตรายมากขึ้นด้วย เช่น มีการเพิ่มตัวเข้ารหัสลงในแพ็คเกจโมดูล AWS Terraform และมีการใช้ข้อจำกัดทางการเมืองในใบอนุญาต เฟิร์มแวร์ Tasmota สำหรับอุปกรณ์ ESP8266 และ ESP32 มีบุ๊กมาร์กในตัวที่สามารถบล็อกการทำงานของอุปกรณ์ได้ เชื่อกันว่ากิจกรรมดังกล่าวอาจบ่อนทำลายความไว้วางใจในซอฟต์แวร์โอเพ่นซอร์สอย่างร้ายแรง

ที่มา: opennet.ru

เพิ่มความคิดเห็น