最近的网络安全研究发现,流行的NPM软件包 node-ipc 发布了新版本,开发人员在其中将判断是否为俄罗斯IP地址,如果是则删除任意文件内容并用心形表情符号替换,以此谴责俄罗斯入侵乌克兰,该事件再次引发了对开源软件供应链安全的担忧。
根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,Node-ipc 用于本地和远程进程间通信 ( IPC ),支持 Linux、macOS 和 Windows,每周下载量超过 110 万次。影响该库的版本为 10.1.1 和 10.1.2 。
该问题的漏洞号为CVE-2022-23812,在 CVSS 漏洞评分系统中被评为 9.8 分(满分 10 分)。虽然破坏性修改已从 10.1 版的库中删除,但在不到4个小时后推送了一个重大更新(11.0.0 版),它导入了另一个名为 peacenotwar 的依赖项,也由 RIAEvangelist 作为一种形式表达对俄罗斯的侵略进行非暴力抗议。
每当调用 node-ipc 模块功能时,它都会向STDOUT打印一条从peacenotwar 模块中取出的消息,并在用户的桌面目录中放置一个文件,其中包含与俄罗斯和乌克兰当前战时局势有关的内容。
截至 2022 年 3 月 15 日,最新的11.1.0版本将 peacenotwar 软件包版本从 9.1.3 升级到 9.1.5,并捆绑了 colors NPM 库,同时还删除了 STDOUT 控制台消息。
这一安全事件涉及一名开发人员破坏磁盘上文件的恶意行为,以及他们试图以不同形式隐藏和重申这种蓄意破坏行为,虽然这是一次以抗议为动机的攻击,但它突出了软件供应链面临的一个更大的问题:代码中的传递依赖可能对你的安全性产生巨大影响。
极牛网精选文章《在开源软件中投毒,NPM包根据IP地址擦除俄罗斯用户的数据》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/18595.html