Bu ay, popüler NPM paketinin arkasındaki geliştirici, devam eden Rus-Ukrayna savaşını protesto eden kütüphanenin sabote sürümlerini serbest bıraktı.
'NODE-IPC' paketinin daha yeni sürümleri, "barış" mesajlarıyla yeni metin dosyaları oluşturmanın yanı sıra, tüm verileri silmeye ve geliştiricinin makinelerinin üzerindeki tüm dosyaların üzerine yazmaya başladı.
Bir milyondan fazla haftalık indirme ile, 'NODE-IPC', Vue.js CLI gibi büyük kütüphaneler tarafından kullanılan önde gelen bir pakettir.
Çok popüler olan 'node-ipc' paketinin, Rusya ve Belarus'taki kullanıcılar için bir sistemdeki isteğe bağlı dosyaları üzerine yazacak veya silecek kötü amaçlı kod içeren sürümleri (10.1.1 ve 10.1.2) seçildi. Bu sürümler CVE-2022-23812 kapsamında izlenir.
8 Mart'ta, Geliştirici Brandon Nozaki Miller, AKA Riaevangelist, Hem NPM hem de Github'da Peacenotwar ve OneDay-Test adında açık kaynaklı yazılım paketlerini serbest bıraktı.
Paketler, başlangıçta geliştirici tarafından, ağırlıklı olarak paketleri kuran herhangi bir kullanıcının masaüstünde "bir barış mesajı" eklerken, barışçıl bir protesto yolu olarak yaratılmış gibi görünmektedir.
RiaevanGelist, "Bu kod, NODE modüllerinizi kontrol etmenin neden önemli olmadığı bir örnek olarak hizmet vermektedir" diyor.
"Ayrıca, şu an dünyayı tehdit eden Rusya'nın saldırganlığına karşı şiddet içermeyen bir protesto olarak görev yapmaktadır."
Ancak, ünlü 'NODE-IPC' kütüphanesinin NPM sürümlerini seçtiğinde, RiaevanGelist tarafından da tutulan ünlü 'NODE-IPC' kütüphanesinin NPM sürümlerini seçtiğinde, paketi kuran kullanıcıların dosyalarının üzerine yazılarak tüm verileri silmek için yıkıcı bir yükün başlatılması görüldü.
İlginç bir şekilde, 7 Mart'tan 7 Mart kadar başlayan kötü amaçlı kod, sistemin harici IP adresini okuyacak ve yalnızca Rusya ve Belarus'taki kullanıcılar için dosyaların üzerine yazılarak verileri siler.
'NODE-IPC' dahilinde bulunan kod, özellikle "SSL-Geospec.js" dosyasında, temel amacını maskelemek için Base64 kodlu dizeleri ve şaşkınlık taktikleri içerir:
Araştırmacılar tarafından sağlanan kodun basitleştirilmiş bir kopyası, Rusya veya Belarus'taki kullanıcıların, kodun bir sistemdeki tüm dosyaların bir sistemdeki tüm verileri bir sistemdeki tüm verileri silinmesini sağlayan tüm dosyaların içeriğini yeniden yazacağını göstermektedir.
Ek olarak, çünkü 'node-ipc' versiyonları 9.2.2, 11.0.0 ve 11.0.0'tan daha büyük olanlar, barışçıların kendi içinde, etkilenen kullanıcıların 'sevgi-america.txt' dosya ile ' "Barış" mesajları ile masaüstü:
Açık kaynaklı güvenlik firmasındaki araştırmacılar Snyk ayrıca kötü amaçlı aktiviteyi izler ve analiz eder:
Liran Tal, "Bu noktada, bu noktada, çok net bir suistimal ve kritik bir tedarik zinciri güvenlik olayı, eğer Rusya veya Belarus'un bir coğrafi konumuyla eşleşmesi durumunda," NPM paketinin dediği herhangi bir sistem için gerçekleşecek " Bir blog yazında Snyk'teki geliştirici savunuculuğu.
Popüler JavaScript Ön Son Çerçevesi 'Vue.js' de bağımlılık olarak 'node-ipc' kullanır. Ancak bu olaydan önce, 'vue.js' 'Düğüm-IPC'nin' bağımlılığı sürümlerini güvenli bir versiyona sabitlemedi ve bunun yerine en az küçük ve yama versiyonlarını almak için ayarlandı, çünkü CARET (^) sembolünden belirgin :
Bu nedenle, Vue.js CLI kullanıcıları, "Düğüm-IPC 'bağımlılığını güvenli bir sürüme sabitlemek için projenin bakıcılarına acil bir temyiz başvurusunda bulundular.
Ve, BleepingComputer tarafından gözlendiği gibi, Vue.js bu sabotajdan etkilenecek tek açık kaynak projesi değil.
Geliştiriciler Lukas Mertens ve Fedor, kötü niyetli bir 'düğüm-IPC' sürümünde olmadıklarından emin olmak için diğer proje bakıcılarını uyarıyor:
Snyk Araştırmacıları, 'NODE-IPC' sürümlerinin 10.1.1 ve 10.1.2'nin sisteme hasar görmesine neden olan 24 saat içinde NPM tarafından alındığından şüpheleniyor.
Bununla birlikte, 'Düğüm-IPC' versiyonları 11.0.0 ve üstü NPM'de mevcut kalır. Ve, bu sürümler hala masaüstünde yukarıda belirtilen '-aşk-america.txt' dosyalarını oluşturacak olan PeacenOTWAR modülünü içeriyor.
Bu nedenle, eğer başvurunuzda 'NODE-IPC' kütüphanesi kullanılarak yapılırsa, bağımlılığı 9.2.1 gibi güvenli bir versiyona sabitlediğinizden emin olun (Dönüş 9.2.2 de masum değil).
Bu, BleepingComputer tarafından bildirildiği gibi Ocak ayının 'renkleri' ve 'Fakers' kendi kendine sabotaj olayını takip eden bu yıl açık kaynak geliştiricisi tarafından protesto eden ikinci ana olayını işaret ediyor.
'Renkler' durumunda, geliştiricisi Marak Squires, açık kaynaklı toplumdan karışık reaksiyonlar çekti, çünkü protesto şekli, içlerinde sonsuz ilmekleri tanıtarak binlerce uygulamayı çiğnediler.
Bununla birlikte, NPM'de 40 ambalajı koruyan Riaevangelist'in hareketi, sadece "barışçıl protesto" ötesine geçmek ve dürüst kullanıcılara herhangi bir uyarı olmadan, popüler bir kütüphanede yıkıcı yükleri aktif olarak dağıtmak için keskin eleştiriyi çekmiştir.
Bir GitHub kullanıcısı, tüm açık kaynaklı topluluğun güvenilirliğine "büyük bir hasar" olarak adlandırdı.
"Bu davranış f **** yukarı ötesindedir. Elbette, savaş kötüdür, ancak bu bu davranışı yapmaz (örneğin, Rusya / Belarus kullanıcıları için tüm dosyaları silmek ve masaüstü klasöründe garip bir dosya oluşturma) gerekçe. F *** Sen, cehenneme git. Sadece açık kaynaklı topluluğu başarıyla mahvetti. Şimdi mutlu musun @riaVangelist? " başka bir şey sordu.
Bazıları, 'node-IPC' geliştiricisinin, ipliklerini sürekli düzenlemeye ve silerek, ipliklerdeki önceki yorumları sürekli düzenlemeye ve silmeyi denemeyi denedi [1, 2, 3].
"Kasıtlı ve tehlikeli bakımı riaevannelist eyleminin bazıları tarafından meşru bir protesto eylemi olarak algılanacak. Bu, bakıcının gelecekteki itibarını ve geliştirici toplumundaki hissesini nasıl yansıtıyor?" Snyk'in talisini sorar.
Geliştiriciler, uygulamalarında 'node-ipc' kullanmadan önce dikkatli olmalıdır, çünkü bunun gelecekteki sürümlerinin veya Riaevangelist tarafından yayınlanan herhangi bir kütüphanenin güvende olacağı konusunda bir güvence yoktur.
Bağımlılıklarınızı güvenilir bir sürüme sabitlemek, uygulamalarınızı bu tür tedarik zinciri saldırılarına karşı korumanın yollarından biridir.
Rusya, Ukrayna tarafından tetiklenir NATO CyberDefense Hub'a katılıyor
Avrupa, Rus işgaline bağlı uçak GPS kesintileri uyardı
Rus savunma firması Rostec, DDOS saldırısından sonra web sitesini kapattı
Rus hükümeti siteleri tedarik zinciri saldırısında saldırdı
Protonmail, Rus kullanıcılarının ödemen seçenekleri olarak yenilemelerini istedi
Kaynak: Bleeping Computer