Node-ipc NPM paketida (CVE-2022-23812) zararli oʻzgarish aniqlandi, 25% ehtimollik bilan yozish huquqiga ega boʻlgan barcha fayllar mazmuni “❤️” belgisi bilan almashtiriladi. Zararli kod faqat Rossiya yoki Belarusiyadan IP manzilli tizimlarda ishga tushirilganda faollashadi. Node-ipc to'plami haftasiga millionga yaqin yuklab olinadi va 354 ta paketga, shu jumladan vue-cliga bog'liqlik sifatida ishlatiladi. Node-ipc ga bog'liq bo'lgan barcha loyihalar ham muammoga ta'sir qiladi.
Zararli kod NPM omboriga node-ipc 10.1.1 va 10.1.2 versiyalarining bir qismi sifatida joylashtirilgan. 11 kun oldin loyiha muallifi nomidan loyihaning Git omboriga zararli o‘zgartirish kiritilgan. Mamlakat api.ipgeolocation.io xizmatiga qo'ng'iroq qilish orqali kodda aniqlandi. Zararli joylashtirishdan ipgeolocation.io API-ga kirilgan kalit endi bekor qilindi.
Shubhali kodning paydo bo'lishi haqidagi ogohlantirishga izohlarda loyiha muallifi o'zgartirish ish stoliga tinchlikka chaqiruvchi xabarni ko'rsatadigan fayl qo'shishdan iboratligini aytdi. Aslida, kod barcha duch kelgan fayllarni qayta yozishga urinish bilan kataloglarni rekursiv qidirishni amalga oshirdi.
Keyinchalik node-ipc 11.0.0 va 11.1.0 versiyalari NPM omboriga joylashtirildi, u o'rnatilgan zararli kodni xuddi shu muallif tomonidan boshqariladigan "peacenotwar" tashqi bog'liqligi bilan almashtirdi va hohlagan paketlarni qo'llab-quvvatlovchilar tomonidan qo'shilishi uchun taklif qilindi. norozilikka qo'shilish. Ta'kidlanishicha, tinchlik urushi to'plami faqat tinchlik haqidagi xabarni aks ettiradi, ammo muallif tomonidan amalga oshirilgan harakatlarni hisobga olgan holda, paketning keyingi mazmunini oldindan aytib bo'lmaydi va buzg'unchi o'zgarishlarning yo'qligi kafolatlanmaydi.
Shu bilan birga, Vue.js loyihasi tomonidan foydalaniladigan barqaror node-ipc 9.2.2 filialiga yangilanish chiqarildi. Yangi nashrda, tinchliksevardan tashqari, ranglar to'plami ham qaramliklar ro'yxatiga qo'shildi, muallif yanvar oyida kodga halokatli o'zgarishlar kiritdi. Yangi nashr uchun manba litsenziyasi MIT dan DBAD ga o'zgartirildi.
Muallifning keyingi harakatlari oldindan aytib bo'lmaydigan bo'lgani uchun, node-ipc foydalanuvchilariga 9.2.1 versiyasiga bog'liqlikni tuzatish tavsiya etiladi. Shuningdek, 41 ta paketni saqlagan muallif tomonidan boshqa ishlanmalar uchun versiyalarni tuzatish tavsiya etiladi. Xuddi shu muallif tomonidan qo'llab-quvvatlanadigan ba'zi paketlar (js-queue, easy-stack, js-message, event-pubsub) haftasiga millionga yaqin yuklab olinadi.
Qo'shimcha: Ilovalarning to'g'ridan-to'g'ri ishlashi bilan bog'liq bo'lmagan va IP manzillari yoki tizim tiliga bog'langan turli xil ochiq paketlarga harakatlar qo'shishga boshqa urinishlar qayd etilgan. Ushbu o'zgarishlarning eng zararsizlari (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) Rossiya va Belorussiyadan foydalanuvchilar uchun urushni tugatish uchun qo'ng'iroqlarni ko'rsatishga to'g'ri keladi. Shu bilan birga, yanada xavfli ko'rinishlar ham aniqlandi, masalan, AWS Terraform modullari paketlariga shifrlovchi qo'shildi va litsenziyaga siyosiy cheklovlar kiritildi. ESP8266 va ESP32 qurilmalari uchun Tasmota proshivkasi qurilmalarning ishlashini bloklashi mumkin bo'lgan o'rnatilgan xatcho'pga ega. Bunday faoliyat ochiq kodli dasturiy ta'minotga bo'lgan ishonchni jiddiy ravishda buzishi mumkin, deb ishoniladi.
Manba: opennet.ru