node-ipc NPM paketinde (CVE-2022-23812) %25 ihtimalle yazma erişimi olan tüm dosyaların içeriklerinin “❤️” karakteriyle değiştirildiği kötü amaçlı bir değişiklik tespit edildi. Kötü amaçlı kod yalnızca Rusya veya Beyaz Rusya'dan IP adreslerine sahip sistemlerde başlatıldığında etkinleştirilir. Node-ipc paketi haftada yaklaşık bir milyon indirmeye sahiptir ve vue-cli dahil 354 pakete bağımlılık olarak kullanılır. Node-ipc bağımlılığı olan tüm projeler de sorundan etkilenmektedir.
Kötü amaçlı kod, node-ipc 10.1.1 ve 10.1.2 sürümlerinin bir parçası olarak NPM deposuna gönderildi. 11 gün önce projenin yazarı adına projenin Git deposuna kötü niyetli bir değişiklik gönderildi. Ülke, api.ipgeolocation.io hizmeti çağrılarak kodda belirlendi. Kötü amaçlı yerleştirmeden ipgeolocation.io API'sine erişilen anahtar artık iptal edildi.
Şüpheli kodun ortaya çıkmasıyla ilgili uyarıya yapılan yorumlarda proje yazarı, değişikliğin masaüstüne barış çağrısı yapan bir mesaj görüntüleyen bir dosya eklenmesi anlamına geldiğini belirtti. Aslında kod, karşılaşılan tüm dosyaların üzerine yazma girişimiyle yinelemeli bir dizin araması gerçekleştirdi.
Node-ipc 11.0.0 ve 11.1.0 sürümleri daha sonra NPM deposuna gönderildi; bu depo, yerleşik kötü amaçlı kodu, aynı yazar tarafından kontrol edilen ve isteyen paket koruyucuları tarafından dahil edilmek üzere sunulan harici bir bağımlılık olan "peacenotwar" ile değiştirdi. protestoya katılmak için. Savaşa-karşıbarış paketinin yalnızca barışa ilişkin bir mesaj içerdiği, ancak yazarın halihazırda gerçekleştirdiği eylemler dikkate alındığında paketin diğer içeriğinin tahmin edilemeyeceği ve yıkıcı değişikliklerin olmayacağının garanti edilmediği belirtiliyor.
Aynı zamanda Vue.js projesinin kullandığı stabil node-ipc 9.2.2 şubesine yönelik bir güncelleme yayınlandı. Yeni sürümde, Peacenotwar'ın yanı sıra, yazarın Ocak ayında koda yıkıcı değişiklikler entegre ettiği renkler paketi de bağımlılıklar listesine eklendi. Yeni sürümün kaynak lisansı MIT'den DBAD'ye değiştirildi.
Yazarın sonraki eylemleri öngörülemediğinden, node-ipc kullanıcılarının 9.2.1 sürümündeki bağımlılıkları düzeltmeleri önerilir. Ayrıca, 41 paketin bakımını yapan aynı yazar tarafından diğer geliştirmeler için sürümlerin düzeltilmesi de önerilir. Aynı yazar tarafından sağlanan bazı paketler (js-queue, easy-stack, js-message, event-pubsub) haftada yaklaşık bir milyon indirmeye sahiptir.
Ekleme: Uygulamaların doğrudan işlevleriyle ilgili olmayan ve IP adreslerine veya sistem yerel ayarına bağlı olan çeşitli açık paketlere eylemler eklemek için başka girişimler de kaydedildi. Bu değişikliklerin en zararsız olanı (es5-ext, rete, PHP bestecisi, PHPUnit, Redis Masaüstü Yöneticisi, Harika Prometheus Uyarıları, verdaccio, filestash), Rusya ve Beyaz Rusya'daki kullanıcılar için savaşı sona erdirmeye yönelik çağrıların görüntülenmesinden ibarettir. Aynı zamanda daha tehlikeli belirtiler de tespit edildi; örneğin AWS Terraform modül paketlerine bir şifreleyici eklendi ve lisansa siyasi kısıtlamalar getirildi. ESP8266 ve ESP32 cihazları için Tasmota ürün yazılımı, cihazların çalışmasını engelleyebilecek yerleşik bir yer imine sahiptir. Bu tür faaliyetlerin açık kaynaklı yazılımlara olan güveni ciddi şekilde zedeleyebileceğine inanılıyor.
Kaynak: opennet.ru