Một thay đổi độc hại đã được phát hiện trong gói NPM node-ipc (CVE-2022-23812), với xác suất 25% rằng nội dung của tất cả các tệp có quyền ghi sẽ được thay thế bằng ký tự “❤️”. Mã độc chỉ được kích hoạt khi khởi chạy trên các hệ thống có địa chỉ IP từ Nga hoặc Belarus. Gói node-ipc có khoảng một triệu lượt tải xuống mỗi tuần và được sử dụng làm phần phụ thuộc trên 354 gói, bao gồm cả vue-cli. Tất cả các dự án có node-ipc làm phụ thuộc cũng bị ảnh hưởng bởi sự cố.
Mã độc đã được đăng lên kho lưu trữ NPM như một phần của bản phát hành node-ipc 10.1.1 và 10.1.2. Một thay đổi độc hại đã được đăng lên kho Git của dự án thay mặt cho tác giả của dự án 11 ngày trước. Quốc gia được xác định trong mã bằng cách gọi dịch vụ api.ipgeolocation.io. Khóa được truy cập vào API ipgeolocation.io từ phần nhúng độc hại hiện đã bị thu hồi.
Trong phần bình luận cho cảnh báo về sự xuất hiện của mã đáng ngờ, tác giả của dự án nói rằng thay đổi này giống như việc thêm một tệp vào màn hình hiển thị thông báo kêu gọi hòa bình. Trên thực tế, mã đã thực hiện tìm kiếm đệ quy các thư mục với nỗ lực ghi đè lên tất cả các tệp gặp phải.
Các bản phát hành của node-ipc 11.0.0 và 11.1.0 sau đó đã được đăng lên kho lưu trữ NPM, thay thế mã độc hại tích hợp bằng một phần phụ thuộc bên ngoài, “peacenotwar”, do cùng một tác giả kiểm soát và được cung cấp để đưa vào bởi những người bảo trì gói mong muốn. để tham gia biểu tình. Người ta tuyên bố rằng gói hòa bình không chiến tranh chỉ hiển thị một thông điệp về hòa bình, nhưng tính đến các hành động đã được tác giả thực hiện, các nội dung tiếp theo của gói là không thể đoán trước và không đảm bảo không có những thay đổi mang tính phá hoại.
Đồng thời, bản cập nhật cho nhánh node-ipc 9.2.2 ổn định, được dự án Vue.js sử dụng, đã được phát hành. Trong bản phát hành mới, ngoài Peacenotwar, gói màu sắc cũng được thêm vào danh sách các phần phụ thuộc, tác giả của gói này đã tích hợp các thay đổi mang tính hủy diệt vào mã vào tháng XNUMX. Giấy phép nguồn cho bản phát hành mới đã được thay đổi từ MIT thành DBAD.
Vì các hành động tiếp theo của tác giả là không thể đoán trước được nên người dùng nút-ipc nên khắc phục các phần phụ thuộc trên phiên bản 9.2.1. Bạn cũng nên sửa các phiên bản cho các phát triển khác của cùng một tác giả đã duy trì 41 gói. Một số gói được duy trì bởi cùng một tác giả (js-queue, easy-stack, js-message, event-pubsub) có khoảng một triệu lượt tải xuống mỗi tuần.
Bổ sung: Các nỗ lực khác nhằm thêm các hành động vào nhiều gói mở khác nhau không liên quan đến chức năng trực tiếp của ứng dụng và được gắn liền với... Địa chỉ IP của tôi hoặc ngôn ngữ hệ thống. Những thay đổi ít gây hại nhất (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) chỉ đơn giản là hiển thị lời kêu gọi chấm dứt chiến tranh cho người dùng ở Nga và Belarus. Tuy nhiên, những biểu hiện nguy hiểm hơn cũng đã được xác định, chẳng hạn như phần mềm tống tiền được thêm vào các mô-đun AWS Terraform và các hạn chế chính trị được thêm vào giấy phép. Phần mềm Tasmota dành cho thiết bị ESP8266 và ESP32 chứa một cửa hậu có khả năng chặn hoạt động của thiết bị. Hoạt động như vậy được cho là làm suy yếu nghiêm trọng niềm tin vào phần mềm mã nguồn mở.
Nguồn: opennet.ru
