May nakitang nakakahamak na pagbabago sa node-ipc NPM package (CVE-2022-23812), na may 25% na posibilidad na ang mga content ng lahat ng file na may write access ay mapapalitan ng ββ€οΈβ na character. Ang malisyosong code ay isinaaktibo lamang kapag inilunsad sa mga system na may mga IP address mula sa Russia o Belarus. Ang node-ipc package ay may humigit-kumulang isang milyong pag-download bawat linggo at ginagamit bilang dependency sa 354 na mga pakete, kabilang ang vue-cli. Ang lahat ng mga proyekto na mayroong node-ipc bilang mga dependency ay apektado din ng problema.
Ang malisyosong code ay nai-post sa NPM repository bilang bahagi ng node-ipc 10.1.1 at 10.1.2 release. Isang nakakahamak na pagbabago ang nai-post sa Git repository ng proyekto sa ngalan ng may-akda ng proyekto 11 araw na ang nakalipas. Natukoy ang bansa sa code sa pamamagitan ng pagtawag sa serbisyo ng api.ipgeolocation.io. Ang susi na na-access sa ipgeolocation.io API mula sa malisyosong embed ay binawi na ngayon.
Sa mga komento sa babala tungkol sa paglitaw ng kahina-hinalang code, sinabi ng may-akda ng proyekto na ang pagbabago ay katumbas ng pagdaragdag ng isang file sa desktop na nagpapakita ng mensahe na humihiling ng kapayapaan. Sa katunayan, ang code ay nagsagawa ng isang recursive na paghahanap ng mga direktoryo na may pagtatangkang i-overwrite ang lahat ng mga file na nakatagpo.
Ang mga paglabas sa ibang pagkakataon ng node-ipc 11.0.0 at 11.1.0 ay nai-post sa imbakan ng NPM, na pinalitan ang built-in na malisyosong code ng isang panlabas na dependency, "peacenotwar," na kinokontrol ng parehong may-akda at iniaalok para sa pagsasama ng mga tagapangasiwa ng package na nagnanais para sumali sa protesta. Nakasaad na ang package ng peacenotwar ay nagpapakita lamang ng mensahe tungkol sa kapayapaan, ngunit isinasaalang-alang ang mga aksyon na ginawa na ng may-akda, ang mga karagdagang nilalaman ng pakete ay hindi mahuhulaan at ang kawalan ng mga mapanirang pagbabago ay hindi ginagarantiyahan.
Kasabay nito, inilabas ang isang update sa stable node-ipc 9.2.2 branch, na ginagamit ng proyekto ng Vue.js. Sa bagong release, bilang karagdagan sa peacenotwar, ang pakete ng mga kulay ay idinagdag din sa listahan ng mga dependency, ang may-akda kung saan isinama ang mga mapanirang pagbabago sa code noong Enero. Ang source license para sa bagong release ay binago mula MIT patungong DBAD.
Dahil ang mga karagdagang aksyon ng may-akda ay hindi mahuhulaan, ang mga gumagamit ng node-ipc ay inirerekomenda na ayusin ang mga dependency sa bersyon 9.2.1. Inirerekomenda din na ayusin ang mga bersyon para sa iba pang mga pag-unlad ng parehong may-akda na nagpapanatili ng 41 mga pakete. Ang ilan sa mga package na pinapanatili ng parehong may-akda (js-queue, easy-stack, js-message, event-pubsub) ay may humigit-kumulang isang milyong pag-download bawat linggo.
Pagdaragdag: Ang iba pang mga pagtatangka ay naitala upang magdagdag ng mga aksyon sa iba't ibang bukas na mga pakete na hindi nauugnay sa direktang paggana ng mga application at nakatali sa mga IP address o lokal na sistema. Ang pinaka-hindi nakakapinsala sa mga pagbabagong ito (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) ay napupunta sa pagpapakita ng mga tawag upang wakasan ang digmaan para sa mga user mula sa Russia at Belarus. Kasabay nito, natukoy din ang mas mapanganib na mga pagpapakita, halimbawa, isang encryptor ang idinagdag sa mga pakete ng AWS Terraform modules at ang mga paghihigpit sa pulitika ay ipinakilala sa lisensya. Ang Tasmota firmware para sa ESP8266 at ESP32 na mga device ay may built-in na bookmark na maaaring harangan ang pagpapatakbo ng mga device. Ito ay pinaniniwalaan na ang naturang aktibidad ay maaaring seryosong masira ang tiwala sa open source software.
Pinagmulan: opennet.ru