[ON] В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Беларуси

[rssbot]

В NPM-пакете node-ipc выявлено вредоносное изменение (CVE-2022-23812), с вероятностью 25% заменяющее на символ "❤️" содержимое всех файлов, к которым имеется доступ на запись. Вредоносный код активируется только при запуске на системах с IP-адресами из России или Беларуси. Пакет node-ipc насчитывает около миллиона загрузок в неделю и используется в качестве зависимости у 354 пакетов, включая vue-cli. Все проекты, которые имеют в зависимостях node-ipc, также подвержены проблеме.



Вредоносный код был размещён в репозитории NPM в составе выпусков node-ipc 10.1.1 и 10.1.2. В Git-репозитории проекта вредоносное изменение было размещено от имени автора проекта 11 дней назад.
Определение страны в коде осуществлялось через обращение к сервису api.ipgeolocation.io. В настоящее время ключ, к которому осуществлялся доступ к API ipgeolocation.io из вредоносной вставки, отозван.



В комментариях к предупреждению о появлении сомнительного кода автор проекта заявил, что изменение сводятся к добавлению файла на рабочий стол, выводящего сообщение с призывом к миру. На деле в коде осуществлялся рекурсивный перебор каталогов с попыткой перезаписи всех встретившихся файлов.



Позднее в репозитории NPM были размещены выпуски node-ipc 11.0.0 и 11.1.0, в которых вместо встроенного вредоносного кода добавлена внешняя зависимость "peacenotwar", контролируемая тем же автором и предлагаемая для подключения сопровождающим пакетов, желающим присоединиться к протесту. Заявляется, что пакет peacenotwar лишь выводит сообщение о мире, но с учётом уже предпринятых автором действий дальнейшее содержимое пакета непредсказуемо и отсутствие деструктивных изменений не гарантируется.


Параллельно было выпущено обновление стабильной ветки node-ipc 9.2.2, которая используется проектом Vue.js. В новом выпуске в число зависимостей, помимо peacenotwar, также был добавлен пакет colors, автор которого в январе интегрировал в код деструктивные изменения. Лицензия на исходные тексты в новом выпуске была изменена с MIT на DBAD.




Так как дальнейшие действия автора непредсказуемы, пользователям node-ipc рекомендуется зафиксировать зависимости на версии 9.2.1. Зафиксировать версии также рекомендуется и для остальных разработок того же автора, который сопровождал 41 пакет. Некоторые из поддерживаемых тем же автором пакетов (js-queue, easy-stack, js-message, event-pubsub) имеют около миллиона загрузок в неделю.


Дополнение: фиксируются и другие попытки добавления в различные открытые пакеты действий, не связанных с прямой функциональностью приложений и привязанных к IP-адресам или системной локали. Наиболее безобидные из подобных изменений (es5-ext, rete, PHP composer, PHPUnit, Redis Desktop Manager, Awesome Prometheus Alerts, verdaccio, filestash) сводятся к выводу призывов к прекращению войны для пользователей из России и Беларуси. При этом выявляются и более опасные проявления, например, в пакеты AWS Terraform modules добавлен шифровальщик и внесены политические ограничения в лицензию. В прошивки Tasmota для устройств ESP8266 и ESP32 встроена закладка, способная блокировать работу устройств. Предполагается, что подобная активность может серьёзно подорвать доверие к открытому ПО.





Источник: https://www.opennet.ru/opennews/art.shtml?num=56870
(opennet.ru, основная лента)

[semiconductor]

Таки "авторов" нужно немедленно в черные списки вносить и отстранять от работы над ПО. Чем они отличаются от вирусописателей?

[devilr]

Чем они отличаются от вирусописателей?

Считают себя "робин гудами", видимо.

[algri14]

Нет ребята, это начало …, чтобы не говорили про свободное и прочее ПО, но нынешняя политическая ситуация в мире наглядно показывает и повторяет давно известное — в войнах нет НИКАКИХ правил.
Сегодня это Украина, а завтра найдётся ещё что-нибудь. В соседней теме (про сертификат) я уже упомянул про «свою родную ОС», всё народ, "мир-дружба-жвачка" закончились и пока не "загремели под фанфары" принимайте меры заранее, лучше перебдеть, чем потом разгребать проблемы.
зы: и не принимайте мой топик за паникёрский, большие проблемы всегда начинались с падения маленького камешка.

[devilr]

Предлагаете скачать старый LFS и сделать свой личный дистрибутив? Всё заканчивается - закончится и это.

[olecya]

Всё заканчивается - закончится и это.

Несмотря на все, самоизолироваться точно не стоит, пусть уж ситуация проверит спо на прочность (возможно выработается иммунитет), но вот например выбор дистрибутва между fedora и debian в пользу более консервативного и менее зависимого debian будет, по моему мнению, правильной тактикой.

[devilr]

пусть уж ситуация проверит спо на прочность (возможно выработается иммунитет)

И что она проверит? То, что разработчики тоже люди и склонны срываться? Или что нужна цензура кода? Ситуация далеко не такая уж однозначная.

[olecya]

То, что разработчики тоже люди и склонны срываться?

Нет, я писала о практике выработки решений в подобных случаях, тесть о практике борьбы с подобными срывами. На мой взгляд возможен счастливый правильный прецедент, чтобы остальные почувствовали себя увереннее. В первую очередь под огнем окажутся те кто должен реагировать на политические демарши, а принимая во внимание, что для остального мира из "около IT" области это возможно будет воспринято, прежде всего, как глобальное предательство интересов СВОБОДНОГО ПО в угоду "диктатуры". Наподобие того что мы уже наблюдали такие перекосы - загнобить всех кто не за "терпимость".

[devilr]

На мой взгляд возможен счастливый правильный прецедент, чтобы остальные почувствовали себя увереннее.

А можно пример? Я, даже теоретически, подобное не могу представить.

[olecya]

А можно пример?

На мой взгляд возможен ...

Слово возможен показывает вероятность в будущем, а до него как известно надо дожить.

... счастливый ...

Ну а это слово говорит о степени вероятности. Так что дожить скорее всего и не получится.

Добавлено (23:36):

... правильный прецедент ...

Или вы не можете представить протокол действий на ресурсе когда обнаружена вредоносная закладка в коде программы?
Возможно я как-то витиевато выражаю свои мысли. Такое со мной бывает.

[devilr]

Или вы не можете представить протокол действий на ресурсе когда обнаружена вредоносная закладка в коде программы?

Представить то я могу такое, конечно. Я не могу представить ситуацию

возможно выработается иммунитет

Майнтейнер не может быть идеальным. Более того, он сам может примкнуть к какому то течению. Что повлияет на его фильтр "хороший - плохой".
А так, в сферическом мире и современный вариант просмотр "патчей на пакеты" вполне себе работает. Ну и отбрасывание блобов, конечно.