在 node-ipc NPM 套件 (CVE-2022-23812) 中偵測到惡意更改,所有具有寫入權限的檔案的內容有 25% 的可能性被替換為「❤️」字元。 只有在具有俄羅斯或白俄羅斯 IP 位址的系統上啟動時,惡意程式碼才會被啟動。 node-ipc 軟體包每週的下載量約為 354 萬次,並用作 XNUMX 個軟體包的依賴項,其中包括 vue-cli。 所有以 node-ipc 作為依賴項的項目也會受到該問題的影響。
惡意程式碼作為 node-ipc 10.1.1 和 10.1.2 版本的一部分發佈到 NPM 儲存庫。 11 天前,專案作者代表專案的 Git 儲存庫發布了惡意變更。 該國家/地區是透過呼叫 api.ipgeolocation.io 服務在程式碼中確定的。 從惡意嵌入存取 ipgeolocation.io API 的金鑰現已被撤銷。
在對出現可疑代碼的警告的評論中,該項目的作者表示,所做的更改相當於向桌面添加一個文件,該文件顯示一條呼籲和平的消息。 事實上,程式碼對目錄進行了遞歸搜索,並試圖覆蓋遇到的所有檔案。
Node-ipc 11.0.0 和11.1.0 的版本後來發佈到NPM 存儲庫,該存儲庫用外部依賴項“peacenotwar”替換了內置惡意代碼,該外部依賴項由同一作者控制,並提供給希望包含的軟體包維護者。加入抗議活動。 據稱,peacenotwar 軟體包僅顯示有關和平的信息,但考慮到作者已經採取的行動,該軟體包的進一步內容是不可預測的,並且不能保證不發生破壞性更改。
同時,發布了 Vue.js 專案使用的穩定的 node-ipc 9.2.2 分支的更新。 在新版本中,除了peacenotwar之外,colors包也被添加到依賴列表中,其作者在一月份將破壞性的更改整合到了程式碼中。 新版本的來源許可證已從 MIT 更改為 DBAD。
由於作者的進一步行動不可預測,建議node-ipc使用者修復對9.2.1版本的依賴。 也建議修復維護 41 個軟體包的同一作者的其他開發版本。 同一作者維護的一些軟體包(js-queue、easy-stack、js-message、event-pubsub)每週下載量約為一百萬次。
新增:已記錄了向各種開放性套件新增操作的其他嘗試,這些操作與應用程式的直接功能無關,並且與 IP 位址或系統區域設定相關。 這些變化中最無害的(es5-ext、rete、PHP Composer、PHPUnit、Redis Desktop Manager、Awesome Prometheus Alerts、verdaccio、filestash)可以歸結為向俄羅斯和白俄羅斯用戶顯示結束戰爭的呼叫。 同時,也發現了更危險的表現,例如AWS Terraform模組包中添加了加密器,許可證中引入了政治限制。 適用於 ESP8266 和 ESP32 設備的 Tasmota 韌體具有內建書籤,可阻止設備的操作。 據信,此類活動可能會嚴重破壞對開源軟體的信任。
來源: opennet.ru