В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Белоруссии
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В NPM-пакете node-ipc выявлено вредоносное изменение (CVE-2022-23812), с вероятностью 25% заменяющее на символ "❤️" содержимое всех файлов, к которым имеется доступ на запись. Вредоносный код активируется только при запуске на системах с IP-дресами из России или Белоруссии. Пакет node-ipc насчитыет около миллиона загрузок в неделю и используется в качестве зависимости у 354 пакетов, включая vue-cli. Все проекты, которые имеют в зависимостях node-ipc, также подвержены проблеме.
Вредоносный код был размещён в репозитории NPM в составе выпусков node-ipc 10.1.1, 10.1.2 и 10.1.3. В Git-репозитории проекта вредоносное изменение было размещено от имени автора проекта 11 дней назад.
Определение страны в коде осуществлялось через обращение к сервису api.ipgeolocation.io. В настоящее время ключ, к которому осуществлялся доступ к API ipgeolocation.io из вредоносной вставки, отозван.
В комментариях к предупреждению о появлении сомнительного кода автор проекта заявил, что изменение сводятся к добавлению файла на рабочий стол, выводящего сообщение с призывом к миру. На деле в коде осуществлялся рекурсивный перебор каталогов с попыткой перезаписи всех встретившихся файлов.
Позднее в репозитории NPM были размещены выпуски node-ipc 11.0.0 и 11.1.0, в которых вместо встроенного вредоносного кода добавлена внешняя зависимость "peacenotwar", контролируемая тем же автором и предлагаемая для подключения авторам пакетов, желающим присоединиться к протесту. Заявляется, что пакет peacenotwar лишь выводит сообщение о мире, но с учётом уже предпринятых автором действий дальнейшее содержимое пакета непредсказуемо и отсутствие дальнейших деструктивных изменений не гарантируется.
Параллельно было выпущено обновление стабильной ветки 9.2.2, которая используется проектом Vue.js. В новом выпуске в число зависимостей помимо peacenotwar также был добавлен пакет colors, автор которого в январе интегрировал в код деструктивные изменения. Лицензия на исходные тексты в новом выпуске была изменена с MIT на DBAD.
Так как дальнейшие действия автора не заслуживают доверия пользователям node-ipc рекомендуется зафиксировать зависимости на версии 9.2.1. Зафиксировать версии также рекомендуется и для остальных разработок того же автора, который сопровождал 41 пакет. Некоторые из поддерживаемых тем же автором пакетов (js-queue, easy-stack, js-message, event-pubsub) имеют около миллиона загрузок в неделю.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://snyk.io/blog/peacenotw...)
- OpenNews: Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектов
- OpenNews: В популярный NPM-модуль внедрено вредоносное ПО, копирующее параметры аутентификации
- OpenNews: В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в неделю, внедрено вредоносное ПО
- OpenNews: В NPM-пакет UAParser.js, насчитывающий 8 млн загрузок в неделю, внедрено вредоносное ПО
- OpenNews: В зависимостях к npm-пакету с установщиком PureScript выявлены вредоносные изменения
Похожие новости:
- В NPM включена обязательная двухфакторная аутентификация для 100 самых популярных пакетов
- Нарушение обратной совместимости в популярном NPM-пакете привело к сбоям в различных проектах
- Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектах
- GitHub внедряет в NPM обязательную расширенную верификацию учётных записей
- Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM
- В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внедрено вредоносное ПО
- В NPM-пакет UAParser.js, насчитывающий 8 млн загрузок в неделю, внедрено вредоносное ПО
- В репозитории NPM выявлены три пакета, выполняющих скрытый майнинг криптовалют
- Уязвимость в NPM, приводящая к перезаписи файлов в системе
- Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн загрузок в неделю
Теги для поиска: #_nodeipc, #_npm, #_malware
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 21:44
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
В NPM-пакете node-ipc выявлено вредоносное изменение (CVE-2022-23812), с вероятностью 25% заменяющее на символ "❤️" содержимое всех файлов, к которым имеется доступ на запись. Вредоносный код активируется только при запуске на системах с IP-дресами из России или Белоруссии. Пакет node-ipc насчитыет около миллиона загрузок в неделю и используется в качестве зависимости у 354 пакетов, включая vue-cli. Все проекты, которые имеют в зависимостях node-ipc, также подвержены проблеме. Вредоносный код был размещён в репозитории NPM в составе выпусков node-ipc 10.1.1, 10.1.2 и 10.1.3. В Git-репозитории проекта вредоносное изменение было размещено от имени автора проекта 11 дней назад. Определение страны в коде осуществлялось через обращение к сервису api.ipgeolocation.io. В настоящее время ключ, к которому осуществлялся доступ к API ipgeolocation.io из вредоносной вставки, отозван. В комментариях к предупреждению о появлении сомнительного кода автор проекта заявил, что изменение сводятся к добавлению файла на рабочий стол, выводящего сообщение с призывом к миру. На деле в коде осуществлялся рекурсивный перебор каталогов с попыткой перезаписи всех встретившихся файлов. Позднее в репозитории NPM были размещены выпуски node-ipc 11.0.0 и 11.1.0, в которых вместо встроенного вредоносного кода добавлена внешняя зависимость "peacenotwar", контролируемая тем же автором и предлагаемая для подключения авторам пакетов, желающим присоединиться к протесту. Заявляется, что пакет peacenotwar лишь выводит сообщение о мире, но с учётом уже предпринятых автором действий дальнейшее содержимое пакета непредсказуемо и отсутствие дальнейших деструктивных изменений не гарантируется. Параллельно было выпущено обновление стабильной ветки 9.2.2, которая используется проектом Vue.js. В новом выпуске в число зависимостей помимо peacenotwar также был добавлен пакет colors, автор которого в январе интегрировал в код деструктивные изменения. Лицензия на исходные тексты в новом выпуске была изменена с MIT на DBAD. Так как дальнейшие действия автора не заслуживают доверия пользователям node-ipc рекомендуется зафиксировать зависимости на версии 9.2.1. Зафиксировать версии также рекомендуется и для остальных разработок того же автора, который сопровождал 41 пакет. Некоторые из поддерживаемых тем же автором пакетов (js-queue, easy-stack, js-message, event-pubsub) имеют около миллиона загрузок в неделю. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 21:44
Часовой пояс: UTC + 5