node-ipc NPM پیکج (CVE-2022-23812) میں ایک بدنیتی پر مبنی تبدیلی کا پتہ چلا، 25% امکان کے ساتھ کہ تمام فائلوں کے مواد جن کے پاس تحریری رسائی ہے انہیں "❤️" کریکٹر سے بدل دیا گیا ہے۔ بدنیتی پر مبنی کوڈ صرف اس وقت چالو ہوتا ہے جب روس یا بیلاروس سے آئی پی ایڈریس والے سسٹمز پر لانچ کیا جاتا ہے۔ نوڈ-آئی پی سی پیکج کے فی ہفتہ تقریباً دس لاکھ ڈاؤن لوڈ ہوتے ہیں اور اسے 354 پیکجوں پر انحصار کے طور پر استعمال کیا جاتا ہے، بشمول vue-cli۔ تمام پراجیکٹس جن میں نوڈ-آئی پی سی ہے وہ بھی اس مسئلے سے متاثر ہوتے ہیں۔
نقصان دہ کوڈ کو NPM ریپوزٹری میں نوڈ-ipc 10.1.1 اور 10.1.2 ریلیز کے حصے کے طور پر پوسٹ کیا گیا تھا۔ 11 دن پہلے پروجیکٹ کے مصنف کی جانب سے پروجیکٹ کے گٹ ریپوزٹری میں ایک بدنیتی پر مبنی تبدیلی پوسٹ کی گئی تھی۔ api.ipgeolocation.io سروس پر کال کر کے کوڈ میں ملک کا تعین کیا گیا تھا۔ بدنیتی پر مبنی ایمبیڈ سے ipgeolocation.io API تک رسائی کی گئی کلید کو اب منسوخ کر دیا گیا ہے۔
مشکوک کوڈ کی ظاہری شکل کے بارے میں انتباہ کے تبصرے میں، پروجیکٹ کے مصنف نے کہا کہ تبدیلی ڈیسک ٹاپ پر ایک فائل کو شامل کرنے کے مترادف ہے جو امن کا مطالبہ کرنے والا پیغام دکھاتا ہے۔ درحقیقت، کوڈ نے ان تمام فائلوں کو اوور رائٹ کرنے کی کوشش کے ساتھ ڈائریکٹریز کی بار بار تلاش کی جس کا سامنا کرنا پڑا۔
نوڈ-آئی پی سی 11.0.0 اور 11.1.0 کی ریلیز کو بعد میں NPM ریپوزٹری میں پوسٹ کیا گیا، جس نے بلٹ ان نقصان دہ کوڈ کو ایک بیرونی انحصار، "پیس نوٹوار" سے تبدیل کر دیا، جسے اسی مصنف نے کنٹرول کیا اور پیکیج مینٹینرز کی طرف سے شامل کرنے کی پیشکش کی گئی۔ احتجاج میں شامل ہونے کے لیے. یہ کہا گیا ہے کہ امن نووار پیکج صرف امن کے بارے میں ایک پیغام دکھاتا ہے، لیکن مصنف کی طرف سے پہلے سے اٹھائے گئے اقدامات کو مدنظر رکھتے ہوئے، پیکیج کے مزید مندرجات غیر متوقع ہیں اور تباہ کن تبدیلیوں کی عدم موجودگی کی ضمانت نہیں دی جاتی ہے۔
اسی وقت، مستحکم نوڈ آئی پی سی 9.2.2 برانچ کی ایک اپ ڈیٹ، جو Vue.js پروجیکٹ کے ذریعے استعمال ہوتی ہے، جاری کی گئی۔ نئی ریلیز میں، امن نوتوار کے علاوہ، رنگوں کے پیکیج کو بھی انحصار کی فہرست میں شامل کیا گیا، جس کے مصنف نے جنوری میں کوڈ میں تباہ کن تبدیلیوں کو مربوط کیا۔ نئی ریلیز کے لیے سورس لائسنس کو MIT سے DBAD میں تبدیل کر دیا گیا ہے۔
چونکہ مصنف کے مزید اقدامات غیر متوقع ہیں، نوڈ آئی پی سی کے صارفین کو ورژن 9.2.1 پر انحصار کو ٹھیک کرنے کی سفارش کی جاتی ہے۔ اسی مصنف کے ذریعہ دیگر ترقیات کے لئے ورژن ٹھیک کرنے کی بھی سفارش کی جاتی ہے جس نے 41 پیکجوں کو برقرار رکھا تھا۔ ایک ہی مصنف (js-queue, easy-stack, js-message, event-pubsub) کے زیر انتظام کچھ پیکجز کے فی ہفتہ تقریباً دس لاکھ ڈاؤن لوڈ ہوتے ہیں۔
اضافہ: مختلف کھلے پیکجوں میں کارروائیاں شامل کرنے کی دوسری کوششیں جو ایپلی کیشنز کی براہ راست فعالیت سے متعلق نہیں ہیں اور ان سے منسلک ہیں۔ IP پتے یا سسٹم لوکل۔ ان تبدیلیوں میں سے سب سے زیادہ معصوم (es5-ext, rete, PHP کمپوزر, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) روس اور بیلاروس کے صارفین کے لیے جنگ کو ختم کرنے کے لیے کالوں کو ظاہر کرنے کے لیے ابلتے ہیں۔ تاہم، مزید خطرناک مظاہر کی بھی نشاندہی کی گئی ہے، جیسے کہ AWS Terraform ماڈیولز میں ransomware کا اضافہ اور لائسنس میں سیاسی پابندیاں شامل کی گئی ہیں۔ ESP8266 اور ESP32 ڈیوائسز کے لیے Tasmota فرم ویئر میں ایک بیک ڈور ہوتا ہے جو ڈیوائسز کو بلاک کرنے کے قابل ہوتا ہے۔ خیال کیا جاتا ہے کہ اس طرح کی سرگرمی اوپن سورس سافٹ ویئر پر اعتماد کو سنجیدگی سے کمزور کرتی ہے۔
ماخذ: opennet.ru
