Trong một hành động phá hoại khác, nhà phát triển đằng sau gói NPM “node-ipc” phổ biến đã xuất xưởng một phiên bản mới để phản đối việc Nga xâm lược Ukraine, gây lo ngại về an ninh trong chuỗi cung ứng phần mềm và mã nguồn mở.
Ảnh hưởng đến các phiên bản 10.1.1 và 10.1.2 của thư viện, những thay đổi đã tạo ra hành vi không mong muốn bởi người bảo trì RIAEvangelist, nhắm mục tiêu người dùng có địa chỉ IP ở Nga hoặc Belarus và xóa nội dung tệp tùy ý và thay thế nó bằng biểu tượng cảm xúc trái tim.
Node-ipc là một mô-đun nút nổi bật được sử dụng để giao tiếp giữa các tiến trình cục bộ và từ xa với sự hỗ trợ cho Linux, macOS và Windows. Nó có hơn 1,1 triệu lượt tải xuống hàng tuần.
Nhà nghiên cứu Liran Tal của Synk cho biết: “Một sự lạm dụng rất rõ ràng và một sự cố an ninh chuỗi cung ứng nghiêm trọng sẽ xảy ra đối với bất kỳ hệ thống nào mà gói NPM này sẽ được sử dụng, nếu nó khớp với vị trí địa lý của Nga hoặc Belarus,” nhà nghiên cứu Liran Tal của Synk cho biết.
Vấn đề đã được gán mã nhận dạng CVE-2022-23812 và được xếp hạng 9,8 trên 10 trên hệ thống chấm điểm lỗ hổng CVSS. Các thay đổi về mã độc được công bố vào ngày 7 tháng 3 (phiên bản 10.1.1), với bản cập nhật thứ hai xảy ra vào 10 giờ sau cùng ngày (phiên bản 10.1.1).
Điều thú vị là, mặc dù tải trọng phá hủy đã bị xóa khỏi thư viện với phiên bản 10.1.3, một bản cập nhật lớn đã được đẩy sau chưa đầy bốn giờ (phiên bản 11.0.0), bản cập nhật này đã nhập một phần phụ thuộc khác được gọi là “hòa bình”, cũng được phát hành bởi RIAEvangelist dưới dạng “phản đối bất bạo động chống lại sự xâm lược của Nga.”
“Bất cứ khi nào chức năng mô-đun node-ipc được gọi, nó sẽ in tới STDOUT một thông báo được đưa ra khỏi mô-đun hòa bình, cũng như đặt một tệp trên thư mục Desktop của người dùng có nội dung liên quan đến tình hình thời chiến hiện tại của Nga và Ukraine , ”Tal giải thích.
Kể từ ngày 15 tháng 3 năm 2022, phiên bản mới nhất của node-ipc – 11.1.0 – gặp phiên bản gói “hòa bình” từ 9.1.3 thành 9.1.5 và gói thư viện NPM “màu”, đồng thời xóa thông báo bảng điều khiển STDOUT. .
Cần lưu ý rằng “màu sắc”, cùng với một gói khác có tên “faker”, đều đã bị nhà phát triển Marak Squires cố ý phá hoại vào đầu tháng Giêng này bằng cách giới thiệu các vòng lặp vô hạn cho mã nguồn, phá vỡ hiệu quả các ứng dụng khác phụ thuộc vào các thư viện.
Theo Bleeping Computer, công ty đầu tiên báo cáo về tham nhũng, những thay đổi được cho là để trả đũa, với nhà phát triển lưu ý rằng “Trân trọng, tôi sẽ không còn hỗ trợ Fortune 500 (và các công ty có quy mô nhỏ hơn) với công việc miễn phí của tôi.”
Nếu bất cứ điều gì, ý tưởng sử dụng các mô-đun phổ biến làm “phần mềm phản kháng” để triển khai các tải trọng phá hoại và tạo ra một thỏa hiệp chuỗi cung ứng có nguy cơ làm xói mòn niềm tin vào phần mềm nguồn mở.
“Sự cố bảo mật này liên quan đến các hành vi phá hoại làm hỏng các tệp trên đĩa của một người bảo trì và nỗ lực của họ để che giấu và trình bày lại hành vi phá hoại có chủ ý đó dưới các hình thức khác nhau”, Tal nói. “Mặc dù đây là một cuộc tấn công với động cơ phản đối, nhưng nó làm nổi bật một vấn đề lớn hơn mà chuỗi cung ứng phần mềm phải đối mặt: các phụ thuộc mang tính bắc cầu trong mã của bạn có thể có tác động rất lớn đến bảo mật của bạn.”
.
