node-ipc NPM paketinde (CVE-2022-23812) %25 ihtimalle yazma erişimi olan tüm dosyaların içeriklerinin “❤️” karakteriyle değiştirildiği kötü amaçlı bir değişiklik tespit edildi. Kötü amaçlı kod yalnızca Rusya veya Beyaz Rusya'dan IP adreslerine sahip sistemlerde başlatıldığında etkinleştirilir. Node-ipc paketi haftada yaklaşık bir milyon indirmeye sahiptir ve vue-cli dahil 354 pakete bağımlılık olarak kullanılır. Node-ipc bağımlılığı olan tüm projeler de sorundan etkilenmektedir.
Kötü amaçlı kod, node-ipc 10.1.1 ve 10.1.2 sürümlerinin bir parçası olarak NPM deposuna gönderildi. 11 gün önce projenin yazarı adına projenin Git deposuna kötü niyetli bir değişiklik gönderildi. Ülke, api.ipgeolocation.io hizmeti çağrılarak kodda belirlendi. Kötü amaçlı yerleştirmeden ipgeolocation.io API'sine erişilen anahtar artık iptal edildi.
Şüpheli kodun ortaya çıkmasıyla ilgili uyarıya yapılan yorumlarda proje yazarı, değişikliğin masaüstüne barış çağrısı yapan bir mesaj görüntüleyen bir dosya eklenmesi anlamına geldiğini belirtti. Aslında kod, karşılaşılan tüm dosyaların üzerine yazma girişimiyle yinelemeli bir dizin araması gerçekleştirdi.
Node-ipc 11.0.0 ve 11.1.0 sürümleri daha sonra NPM deposuna gönderildi; bu depo, yerleşik kötü amaçlı kodu, aynı yazar tarafından kontrol edilen ve isteyen paket koruyucuları tarafından dahil edilmek üzere sunulan harici bir bağımlılık olan "peacenotwar" ile değiştirdi. protestoya katılmak için. Savaşa-karşıbarış paketinin yalnızca barışa ilişkin bir mesaj içerdiği, ancak yazarın halihazırda gerçekleştirdiği eylemler dikkate alındığında paketin diğer içeriğinin tahmin edilemeyeceği ve yıkıcı değişikliklerin olmayacağının garanti edilmediği belirtiliyor.
Aynı zamanda Vue.js projesinin kullandığı stabil node-ipc 9.2.2 şubesine yönelik bir güncelleme yayınlandı. Yeni sürümde, Peacenotwar'ın yanı sıra, yazarın Ocak ayında koda yıkıcı değişiklikler entegre ettiği renkler paketi de bağımlılıklar listesine eklendi. Yeni sürümün kaynak lisansı MIT'den DBAD'ye değiştirildi.
Yazarın sonraki eylemleri öngörülemediğinden, node-ipc kullanıcılarının 9.2.1 sürümündeki bağımlılıkları düzeltmeleri önerilir. Ayrıca, 41 paketin bakımını yapan aynı yazar tarafından diğer geliştirmeler için sürümlerin düzeltilmesi de önerilir. Aynı yazar tarafından sağlanan bazı paketler (js-queue, easy-stack, js-message, event-pubsub) haftada yaklaşık bir milyon indirmeye sahiptir.
Ek olarak: Uygulamaların doğrudan işlevselliğiyle ilgili olmayan ve çeşitli açık kaynaklı paketlere eylemler eklemeye yönelik diğer girişimler de söz konusudur. IP adresim veya sistem yerel ayarı. Bu değişikliklerin en zararsız olanları (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash), Rusya ve Belarus'taki kullanıcılara savaşı sona erdirme çağrıları göstermekten ibarettir. Bununla birlikte, AWS Terraform modüllerine eklenen fidye yazılımları ve lisansa eklenen siyasi kısıtlamalar gibi daha tehlikeli tezahürler de tespit edilmiştir. ESP8266 ve ESP32 cihazları için Tasmota bellenimi, cihazın çalışmasını engelleyebilen bir arka kapı içermektedir. Bu tür faaliyetlerin açık kaynak yazılımlara olan güveni ciddi şekilde zedelediğine inanılmaktadır.
Kaynak: opennet.ru
