In wat nog een andere sabotagehandeling is, heeft de ontwikkelaar achter het populaire “node-ipc” NPM-pakket een nieuwe versie verzonden om te protesteren tegen de Russische invasie van Oekraïne, waardoor bezorgdheid werd geuit over de veiligheid in de open-source en de softwaretoeleveringsketen.
Met betrekking tot versies 10.1.1 en 10.1.2 van de bibliotheek, introduceerden de wijzigingen ongewenst gedrag door de beheerder RIAEvangelist, gericht op gebruikers met IP-adressen in Rusland of Wit-Rusland, en het wissen van willekeurige bestandsinhoud en het vervangen ervan door een hart-emoji.
Node-ipc is een prominente knoop module gebruikt voor lokale en externe communicatie tussen processen met ondersteuning voor Linux, macOS en Windows. Het heeft meer dan 1,1 miljoen wekelijkse downloads.
“Er zal een zeer duidelijk misbruik en een kritiek beveiligingsincident in de toeleveringsketen plaatsvinden voor elk systeem waarop dit NPM-pakket zal worden aangeroepen, als dat overeenkomt met een geolocatie van Rusland of Wit-Rusland,” Synk-onderzoeker Liran Tal zei in een analyse.
Het probleem heeft de identifier gekregen CVE-2022-23812 en heeft een score van 9,8 uit 10 op het CVSS-kwetsbaarheidsscoresysteem. De kwaadaardige codewijzigingen werden op 7 maart gepubliceerd (versie 10.1.1), met een tweede update die 10 uur later op dezelfde dag plaatsvond (versie 10.1.1).
Interessant is dat, hoewel de destructieve payload met versie 10.1.3 uit de bibliotheek werd verwijderd, er na minder dan vier uur een grote update werd gepusht (versie 11.0.0), die een andere afhankelijkheid importeerde met de naam “vrede notwar‘, ook vrijgegeven door RIAvangelist als een vorm van ‘geweldloos protest tegen de Russische agressie’.
“Elke keer dat de functionaliteit van de node-ipc-module wordt aangeroepen, wordt deze afgedrukt naar STDOUT een bericht dat uit de Peacenotwar-module is gehaald en een bestand op de Desktop-directory van de gebruiker plaatst met inhoud die betrekking heeft op de huidige oorlogssituatie in Rusland en Oekraïne”, legt Tal uit.
Vanaf 15 maart 2022 verhoogt de nieuwste versie van node-ipc – 11.1.0 – de “peacenotwar”-pakketversie van 9.1.3 naar 9.1.5 en bundelt de “kleuren” NPM-bibliotheek, terwijl ook de STDOUT-consoleberichten worden verwijderd .
Het is vermeldenswaard dat “kleuren”, samen met een ander pakket genaamd “faker”, beide waren opzettelijk gesaboteerd eerder deze januari door zijn ontwikkelaar Marak Squires door oneindige lussen in de broncode te introduceren, waardoor andere applicaties die afhankelijk waren van de bibliotheken effectief werden verbroken.
Volgens Bleeping Computer, die eerst gemeld de corruptie, de wijzigingen zouden vergeldingsmaatregelen zijn geweest, met de ontwikkelaar opmerkend dat “Met respect, ik ga Fortune 500’s (en andere kleinere bedrijven) niet langer ondersteunen met mijn gratis werk.”
Het idee om populaire modules te gebruiken als “protestware” om destructieve payloads in te zetten en een toeleveringsketen te compromitteren, loopt u het risico het vertrouwen in open-sourcesoftware te ondermijnen.
“Dit beveiligingsincident omvat destructieve handelingen van het corrumperen van bestanden op de schijf door één beheerder en hun pogingen om die opzettelijke sabotage in verschillende vormen te verbergen en te herhalen,” zei Tal. “Hoewel dit een aanval is met door protesten gedreven motieven, benadrukt het een groter probleem waarmee de softwareleveringsketen wordt geconfronteerd: de transitieve afhankelijkheden in uw code kunnen een enorme impact hebben op uw beveiliging.”
