Node ipc что это такое
Перейти к содержимому

Node ipc что это такое

  • автор:

В node-ipc нашли уязвимость, которая удаляет файлы на русских и белорусских системах

Она заменяет содержимое файлов на сердечки и имеет 9.8 из 10 баллов по шкале опасности.

Дмитрий Зверев

Дмитрий Зверев

Любитель научной фантастики и технологического прогресса. Хорошо сочетает в себе заумного технаря и утончённого гуманитария. Пишет про IT и радуется этому.

Что случилось? В NPM-пакете — node-ipc — появился вредоносный код, который запускается только на IP-адресах России и Беларуси. Изменения в коде разместил сам автор проекта. Уязвимость (CVE-2022-23812) оценивается специалистами из Nist на 9.8 из 10 баллов по шкале CVSS.

И что? Пакет node-ipc скачивают около миллиона раз в неделю, а ещё он используется в 354 сторонних пакетах — например, в vue-cli. Поэтому все проекты, которые имеют в зависимостях node-ipc, — под угрозой.

Как это работает? Автор проекта добавил в Git-репозитории node-ipc код, который определяет страну через сервис api.ipgeolocation.io и с вероятностью 25% заменяет на символ «❤️» содержимое всех файлов с доступом на чтение.

Этот код обнаружили в версиях пакета 10.1.1 и 10.1.2, а позже в версиях 11.0.0 и 11.1.0 нашли внешнюю зависимость peacenotwar от того же автора: код выдаёт сообщение с предложением присоединиться к протесту.

Сегодня ключ для api.ipgeolocation.io отозвали, и теперь node-ipc не может получить доступ к геолокации пользователей.

Что делать? Пользователям node-ipc рекомендуется откатить пакет до версии 9.2.1, а также с осторожностью использовать другие пакеты, которые выпустил автор node-ipc. Здесь — список созданных им пакетов.

Читайте также:

  • OneHalf: история компьютерного «коронавируса»
  • Нужен ли программисту английский?
  • Что такое HTML и почему его должен знать каждый веб-разработчик

Деструктивные действия разработчика npm-пакета node-ipc привели к проблемам по всему миру

По информации Linux.org.ru, деструктивные действия разработчика npm-пакета node-ipc привели к проблемам по всему миру.

Больше деталей и Timeline инцидента. Вся информация о зловреде, который был в его пакете, так как разработчик вычистил всю ветку.

Пояснение этой ситуации от пользователя Хабра:

Автор пакета node-ipc (используется в vue-cli, Unity, больше миллиона загрузок за неделю) запушил коммит с обфусцированным кодом, который удаляет все файлы с устройства, если этот код был запущен с российского или белорусского IP. node-ipc предназначен для межпроцессного взаимодействия.

Авторы vue-cli выпустили обновление, в котором зафиксировали зависимость от версии node-ipc без вредоносного кода. Unity Hub был также обновлён. Пакет был добавлен в чёрный список npmmirror.com.

В репозитории node-ipc сейчас происходит драма, автор удаляет комментарии, а пользователи GitHub ищут ПО, использующее этот пакет.

Разработчики после этого инцидента опубликовали предварительный перечень, чтобы избежать подобных неприятностей, под названием «Список малвари, шифровальщиков и прочего в open source проектах, опасных для использования».

Разработчик node-ipc подвергся жесткому преследованию

Разработчик столкнулся с негативной реакцией общества после того, как его обвинили в попытке неизбирательного распространения вредоносного ПО на российские IP-адреса через популярный пакет с открытым исходным кодом. Брэндон Нодзаки-Миллер опроверг обвинения в том, что его код уничтожил жесткие диски пользователей в России и Беларуси, несмотря на подробный онлайн-анализ кода сторонними экспертами. Миллер разрабатывает «node-ipc» — модуль межпроцессного взаимодействия для систем Linux , Mac и Windows. По данным GitHub , пакетом пользуются почти 761 000 человек. После анализа кода 7 марта этого года компания Snyk, занимающаяся безопасностью программного обеспечения, пришла к выводу, что в node-ipc был встроен вредоносный пакет. Вредоносный код перезаписывал файлы на компьютере пользователей с IP адресами из России и Белорусии, и заменял их смайликом.
По словам Snyk, инструмент ipc-node использовался в пакетах, включая инструмент командной строки Vue.js. Уязвимости присвоен идентификатор CVE-2022-23812 с оценкой CVSS 9,8 (критическая). После инцидента Миллер подвергся жесткому преследованию. Кто то позвонил в полицию и предупредил о ложной чрезвычайной ситуации, в результате чего он был избит полицией. Также неизвестные взломали его твиттер. «Насколько мне известно, ни один компьютер не пострадал, если только люди не попытались сделать так, чтобы мой код делал что-то, чего на самом деле не было», — сказал он. «Единственное, что произошло на самом деле, было задокументировано и лицензировано в файлах исходного кода, был добавлен файл на рабочий стол с посланием мира, морали и попыткой вспомнить о прощении, когда все это закончится». Подробный анализ Snyk отвергает слова Миллера. Компания обвиняет Нодзаки Миллера в попытке скрыть распространение вредоносного ПО.

Устали от того, что Интернет знает о вас все? Присоединяйтесь к нам и станьте невидимыми!

Популярный NPM-пакет портит файловые системы из России и Белоруссии

Популярный NPM-пакет портит файловые системы из России и Белоруссии

Разработчик популярного NPM-пакета «node-ipc» решил выразить свою позицию по складывающейся сейчас ситуации в Украине. В новую версию своей разработки девелопер добавил функциональность вайпера, который удаляет файловые системы, если IP-адрес пользователя принадлежит России или Белоруссии.

Такое решение вызвало ряд вопрос, касающихся безопасности цепочек поставок софта и сообщества любителей открытого кода. Как известно, вредоносное нововведение появилось в версиях 10.1.1 (вышла 7 марта) и 10.1.2.

RIAEvangelist, стоящий за разработкой node-ipc, решил бить по IP-адресам. Если географически адрес совпадал с Россией или Белоруссией, софт перезаписывал содержимое произвольных файлов эмодзи «сердечко».

Напомним, что node-ipc предназначен для локальной и удалённой коммуникации между процессами. NPM-пакет поддерживает системы Linux, macOS, Windows и насчитывает более 1,1 млн еженедельных загрузок.

«Очевидно, это злоупотребление своим положением, которое привело к критическому инциденту для цепочки поставок софта», — комментирует ситуацию Лиран Тал из Synk.

Проблеме присвоили идентификатор CVE-2022-23812 и 9,8 балла по шкале CVSS. Согласно сообщениям, в версии 10.1.3 деструктивный код был удалён.

Подписывайтесь на канал «Anti-Malware» в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *