node-ipc NPM پیکج (CVE-2022-23812) میں ایک بدنیتی پر مبنی تبدیلی کا پتہ چلا، 25% امکان کے ساتھ کہ تمام فائلوں کے مواد جن کے پاس تحریری رسائی ہے انہیں "❤️" کریکٹر سے بدل دیا گیا ہے۔ بدنیتی پر مبنی کوڈ صرف اس وقت چالو ہوتا ہے جب روس یا بیلاروس سے آئی پی ایڈریس والے سسٹمز پر لانچ کیا جاتا ہے۔ نوڈ-آئی پی سی پیکج کے فی ہفتہ تقریباً دس لاکھ ڈاؤن لوڈ ہوتے ہیں اور اسے 354 پیکجوں پر انحصار کے طور پر استعمال کیا جاتا ہے، بشمول vue-cli۔ تمام پراجیکٹس جن میں نوڈ-آئی پی سی ہے وہ بھی اس مسئلے سے متاثر ہوتے ہیں۔
نقصان دہ کوڈ کو NPM ریپوزٹری میں نوڈ-ipc 10.1.1 اور 10.1.2 ریلیز کے حصے کے طور پر پوسٹ کیا گیا تھا۔ 11 دن پہلے پروجیکٹ کے مصنف کی جانب سے پروجیکٹ کے گٹ ریپوزٹری میں ایک بدنیتی پر مبنی تبدیلی پوسٹ کی گئی تھی۔ api.ipgeolocation.io سروس پر کال کر کے کوڈ میں ملک کا تعین کیا گیا تھا۔ بدنیتی پر مبنی ایمبیڈ سے ipgeolocation.io API تک رسائی کی گئی کلید کو اب منسوخ کر دیا گیا ہے۔
مشکوک کوڈ کی ظاہری شکل کے بارے میں انتباہ کے تبصرے میں، پروجیکٹ کے مصنف نے کہا کہ تبدیلی ڈیسک ٹاپ پر ایک فائل کو شامل کرنے کے مترادف ہے جو امن کا مطالبہ کرنے والا پیغام دکھاتا ہے۔ درحقیقت، کوڈ نے ان تمام فائلوں کو اوور رائٹ کرنے کی کوشش کے ساتھ ڈائریکٹریز کی بار بار تلاش کی جس کا سامنا کرنا پڑا۔
نوڈ-آئی پی سی 11.0.0 اور 11.1.0 کی ریلیز کو بعد میں NPM ریپوزٹری میں پوسٹ کیا گیا، جس نے بلٹ ان نقصان دہ کوڈ کو ایک بیرونی انحصار، "پیس نوٹوار" سے تبدیل کر دیا، جسے اسی مصنف نے کنٹرول کیا اور پیکیج مینٹینرز کی طرف سے شامل کرنے کی پیشکش کی گئی۔ احتجاج میں شامل ہونے کے لیے. یہ کہا گیا ہے کہ امن نووار پیکج صرف امن کے بارے میں ایک پیغام دکھاتا ہے، لیکن مصنف کی طرف سے پہلے سے اٹھائے گئے اقدامات کو مدنظر رکھتے ہوئے، پیکیج کے مزید مندرجات غیر متوقع ہیں اور تباہ کن تبدیلیوں کی عدم موجودگی کی ضمانت نہیں دی جاتی ہے۔
اسی وقت، مستحکم نوڈ آئی پی سی 9.2.2 برانچ کی ایک اپ ڈیٹ، جو Vue.js پروجیکٹ کے ذریعے استعمال ہوتی ہے، جاری کی گئی۔ نئی ریلیز میں، امن نوتوار کے علاوہ، رنگوں کے پیکیج کو بھی انحصار کی فہرست میں شامل کیا گیا، جس کے مصنف نے جنوری میں کوڈ میں تباہ کن تبدیلیوں کو مربوط کیا۔ نئی ریلیز کے لیے سورس لائسنس کو MIT سے DBAD میں تبدیل کر دیا گیا ہے۔
چونکہ مصنف کے مزید اقدامات غیر متوقع ہیں، نوڈ آئی پی سی کے صارفین کو ورژن 9.2.1 پر انحصار کو ٹھیک کرنے کی سفارش کی جاتی ہے۔ اسی مصنف کے ذریعہ دیگر ترقیات کے لئے ورژن ٹھیک کرنے کی بھی سفارش کی جاتی ہے جس نے 41 پیکجوں کو برقرار رکھا تھا۔ ایک ہی مصنف (js-queue, easy-stack, js-message, event-pubsub) کے زیر انتظام کچھ پیکجز کے فی ہفتہ تقریباً دس لاکھ ڈاؤن لوڈ ہوتے ہیں۔
اضافہ: مختلف کھلے پیکجوں میں کارروائیوں کو شامل کرنے کے لیے دیگر کوششیں ریکارڈ کی گئی ہیں جو ایپلی کیشنز کی براہ راست فعالیت سے متعلق نہیں ہیں اور آئی پی ایڈریسز یا سسٹم لوکیل سے منسلک ہیں۔ ان تبدیلیوں میں سے سب سے بے ضرر (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) روس اور بیلاروس کے صارفین کے لیے جنگ کو ختم کرنے کے لیے کالوں کو ظاہر کرنے کے لیے ابلتے ہیں۔ ایک ہی وقت میں، مزید خطرناک مظاہر کی بھی نشاندہی کی گئی ہے، مثال کے طور پر، AWS Terraform ماڈیول پیکجز میں ایک انکریپٹر شامل کیا گیا تھا اور لائسنس میں سیاسی پابندیاں متعارف کرائی گئی تھیں۔ ESP8266 اور ESP32 ڈیوائسز کے لیے Tasmota فرم ویئر میں ایک بلٹ ان بُک مارک ہے جو آلات کے آپریشن کو روک سکتا ہے۔ یہ خیال کیا جاتا ہے کہ اس طرح کی سرگرمی اوپن سورس سافٹ ویئر پر اعتماد کو سنجیدگی سے نقصان پہنچا سکتی ہے۔
ماخذ: opennet.ru