Iyipada irira ni a rii ni node-ipc NPM package (CVE-2022-23812), pẹlu iṣeeṣe 25% pe awọn akoonu ti gbogbo awọn faili ti o ni iwọle kikọ ni rọpo pẹlu “❤️” kikọ. Awọn koodu irira ṣiṣẹ nikan nigbati a ṣe ifilọlẹ lori awọn eto pẹlu awọn adirẹsi IP lati Russia tabi Belarus. Apo-ipc node-ipc ni awọn igbasilẹ miliọnu kan ni ọsẹ kan ati pe o lo bi igbẹkẹle lori awọn idii 354, pẹlu vue-cli. Gbogbo awọn iṣẹ akanṣe ti o ni node-ipc bi awọn igbẹkẹle tun ni ipa nipasẹ iṣoro naa.
Awọn koodu irira ti firanṣẹ si ibi ipamọ NPM gẹgẹbi apakan ti node-ipc 10.1.1 ati 10.1.2 awọn idasilẹ. Iyipada irira ni a fiweranṣẹ si ibi ipamọ Git ti iṣẹ akanṣe naa ni aṣoju onkọwe iṣẹ akanṣe ni ọjọ 11 sẹhin. Orilẹ-ede ti pinnu ninu koodu nipa pipe iṣẹ api.ipgeolocation.io. Bọtini ti o wọle si ipgeolocation.io API lati inu ifibọ irira ti jẹ iyipada ni bayi.
Ninu awọn asọye si ikilọ nipa hihan koodu ṣiṣafihan, onkọwe ti iṣẹ akanṣe naa sọ pe iyipada naa jẹ afikun si fifi faili kun si tabili tabili ti o ṣafihan ifiranṣẹ ti n pe fun alaafia. Ni otitọ, koodu naa ṣe wiwa loorekoore ti awọn ilana pẹlu igbiyanju lati tunkọ gbogbo awọn faili ti o pade.
Awọn idasilẹ ti node-ipc 11.0.0 ati 11.1.0 ni a firanṣẹ nigbamii si ibi ipamọ NPM, eyiti o rọpo koodu irira ti a ṣe sinu rẹ pẹlu igbẹkẹle ita, “peacenotwar,” ti a ṣakoso nipasẹ onkọwe kanna ati funni fun ifisi nipasẹ awọn olutọju package nfẹ. lati darapọ mọ ehonu. O ti sọ pe package peacenotwar nikan ṣafihan ifiranṣẹ kan nipa alaafia, ṣugbọn ni akiyesi awọn iṣe ti onkọwe ti ṣe tẹlẹ, awọn akoonu siwaju ti package jẹ airotẹlẹ ati isansa ti awọn ayipada iparun ko ni iṣeduro.
Ni akoko kanna, imudojuiwọn kan si node-ipc 9.2.2 ti ẹka iduroṣinṣin, eyiti o jẹ lilo nipasẹ iṣẹ akanṣe Vue.js, ti tu silẹ. Ninu itusilẹ tuntun, ni afikun si peacenotwar, package awọn awọ tun ṣafikun si atokọ ti awọn igbẹkẹle, onkọwe eyiti o ṣepọ awọn ayipada iparun sinu koodu ni Oṣu Kini. Iwe-aṣẹ orisun fun idasilẹ tuntun ti yipada lati MIT si DBAD.
Niwọn bi awọn iṣe siwaju ti onkọwe ko ṣe asọtẹlẹ, awọn olumulo node-ipc ni a gbaniyanju lati ṣatunṣe awọn igbẹkẹle lori ẹya 9.2.1. O tun ṣe iṣeduro lati ṣatunṣe awọn ẹya fun awọn idagbasoke miiran nipasẹ onkọwe kanna ti o ṣetọju awọn idii 41. Diẹ ninu awọn idii ti o tọju nipasẹ onkọwe kanna (js-queue, irọrun-akopọ, js-ifiranṣẹ, iṣẹlẹ-pubsub) ni bii awọn igbasilẹ miliọnu kan ni ọsẹ kan.
Afikun: Awọn igbiyanju miiran ti gbasilẹ lati ṣafikun awọn iṣe si ọpọlọpọ awọn idii ṣiṣi ti ko ni ibatan si iṣẹ ṣiṣe taara ti awọn ohun elo ati pe o somọ awọn adirẹsi IP tabi agbegbe eto. Laiseniyan julọ ti awọn iyipada wọnyi (es5-ext, rete, olupilẹṣẹ PHP, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) ṣan silẹ lati ṣafihan awọn ipe lati pari ogun fun awọn olumulo lati Russia ati Belarus. Ni akoko kanna, awọn ifihan ti o lewu diẹ sii ni a tun ṣe idanimọ, fun apẹẹrẹ, a ṣafikun encryptor si awọn idii awọn modulu AWS Terraform ati awọn ihamọ iṣelu ti ṣafihan sinu iwe-aṣẹ naa. Famuwia Tasmota fun ESP8266 ati awọn ẹrọ ESP32 ni bukumaaki ti a ṣe sinu ti o le dènà iṣẹ ti awọn ẹrọ. O gbagbọ pe iru iṣẹ ṣiṣe le ṣe idiwọ igbẹkẹle ninu sọfitiwia orisun ṣiṣi.
orisun: opennet.ru