首页 > 安全 > 正文

Node-IPC NPM包破坏抗议乌克兰入侵

最后更新 :2022.03.18

开发人员背后的开发人员上传了一个破坏性版本,以抗议俄罗斯的俄罗斯侵犯乌克兰。

ridavangelist,流行的节点-IPc kpm包后面的开发人员发布了一个擦拭俄罗斯的新版本,白俄罗斯系统抗议俄罗斯侵犯乌克兰。

Node-IPC节点模块允许与支持Linux,MacOS和Windows的本地和远程进程间通信。它每周下载超过100万。

图书馆的版本10.1.1和10.1.2擦除任意文件的内容,并用心脏emoji替换它。

攻击被发现2022年3月15日,当流行vue.js的用户前端JavaScript框架开始遇到破坏的效果。

这是嵌套依赖关系节点IPC和Peancootwar被突破为Node-IPC包的维护者作为抗议的行为的结果。这种安全事件涉及一个维护者损坏磁盘上的文件的破坏性行为,他们的尝试隐藏和重述不同形式的故意破坏。虽然这是一种攻击激励动机的攻击,但它突出了软件供应链面临的更大问题:代码中的传递依赖项可能对您的安全产生巨大影响。读取安全公司Synk发布的分析。如果符合俄罗斯或白俄罗斯的地理位置,则将出现非常明确的滥用和关键供应链安全事件。

专家跟踪了CVE-2022-23812的问题,进一步调查显示,擦除行为在3月7日(第10.1.1版)中实施,第二个更新后10小时后(版本10.1)。1)。

刮水器代码从包装中除去,释放10.1.3。后来ridavangelist发布了一个主要的更新(版本11.0.0),导入AnothER依赖称为PeaceNotwar作为非暴力抗议形式,反对俄罗斯攻击的非暴力抗议形式。

此代码用作非破坏性示例,为什么控制节点模块很重要。它还担任违反俄罗斯侵略性的非暴力抗议活动。此模块将在用户桌面上添加一个和平消息,如果它尚未存在只是礼貌,它只会这样做。读取代码的描述。

任何时候都会调用Node-IPC模块功能,它将打印为STDOUT从PeaceNotWar模块中删除的消息,以及将用户桌面目录上的文件放在内容上与当前的俄罗斯和乌克兰的战争时间形势有关,继续分析。

版本节点-IPC 11.1.0于3月15日发布的,2022将Peacenotwar包版本从9.1.3到9.1.5导入捆绑颜色NPM库,而IT NOT包含STDOUT控制台消息。

研究人员注意到NPM包装的颜色和煽动者被1月份的NPM包维护者马克故意滥用和损坏。

这种抗议模式打开了令人不安的情景,活动家可以利用其他供应链攻击妥协和销毁目标系统。

斯内克斯在乌克兰站立,我们积极地致力于在持续的危机期间支持乌克兰人,并向世界范围内的开发商提供捐赠和免费服务,以及采取行动在俄罗斯和白俄罗斯停止业务。结束专家。该说明,故意滥用,如此破坏全球开源社区,并要求我们将受影响的Node-IPC的版本标记为安全漏洞。

- END -

看更多