En lo que es otro acto de sabotaje, el desarrollador detr\u00e1s del popular paquete NPM “node-ipc” envi\u00f3 una nueva versi\u00f3n para protestar por la invasi\u00f3n rusa de Ucrania, generando preocupaciones sobre la seguridad en el c\u00f3digo abierto y el cadena de suministro de software<\/a>.<\/p>\n Los cambios, que afectaron a las versiones 10.1.1 y 10.1.2 de la biblioteca, introdujeron un comportamiento no deseado por parte de su mantenedor RIAEvangelist, apuntando a usuarios con direcciones IP ubicadas en Rusia o Bielorrusia, y borrando el contenido de archivos arbitrarios y reemplaz\u00e1ndolos con un emoji de coraz\u00f3n.<\/p>\n Node-ipc es un destacado m\u00f3dulo de nodo<\/a> Se utiliza para la comunicaci\u00f3n entre procesos local y remota con soporte para Linux, macOS y Windows. Tiene m\u00e1s de 1,1 millones de descargas semanales.<\/p>\n “Se producir\u00e1 un abuso muy claro y un incidente cr\u00edtico de seguridad de la cadena de suministro para cualquier sistema en el que se solicite este paquete de NPM, si coincide con una ubicaci\u00f3n geogr\u00e1fica de Rusia o Bielorrusia”, dijo el investigador de Synk, Liran Tal. dijo<\/a> en un an\u00e1lisis.<\/p>\n Al problema se le ha asignado el identificador CVE-2022-23812<\/a> y tiene una calificaci\u00f3n de 9,8 sobre 10 en el sistema de calificaci\u00f3n de vulnerabilidad CVSS. Los cambios del c\u00f3digo malicioso se publicaron el 7 de marzo (versi\u00f3n 10.1.1), con una segunda actualizaci\u00f3n 10 horas m\u00e1s tarde el mismo d\u00eda (versi\u00f3n 10.1.1).<\/p>\n Curiosamente, aunque la carga \u00fatil destructiva se elimin\u00f3 de la biblioteca con la versi\u00f3n 10.1.3, se envi\u00f3 una actualizaci\u00f3n importante despu\u00e9s de menos de cuatro horas (versi\u00f3n 11.0.0), que import\u00f3 otra dependencia llamada “Paz no guerra<\/a>\u201d, tambi\u00e9n publicado por RIAEvangelist como una forma de \u201cprotesta no violenta contra la agresi\u00f3n de Rusia\u201d.<\/p>\n “Cada vez que se llama a la funcionalidad del m\u00f3dulo node-ipc, se imprime en SALIDA EST\u00c1NDAR<\/a> un mensaje extra\u00eddo del m\u00f3dulo de paz, no de guerra, y coloca un archivo en el directorio del escritorio del usuario con contenidos relacionados con la situaci\u00f3n actual en tiempos de guerra de Rusia y Ucrania”, explic\u00f3 Tal.<\/p>\n A partir del 15 de marzo de 2022, la \u00faltima versi\u00f3n de node-ipc, 11.1.0, supera la versi\u00f3n del paquete “peacenotwar” de 9.1.3 a 9.1.5 y agrupa la biblioteca NPM de “colores”, al tiempo que elimina los mensajes de la consola STDOUT. .<\/p>\n Vale la pena se\u00f1alar que “colors”, junto con otro paquete llamado “faker”, fueron ambos saboteado intencionalmente<\/a> a principios de enero por su desarrollador Marak Squires al introducir bucles infinitos en el c\u00f3digo fuente, rompiendo efectivamente otras aplicaciones que depend\u00edan de las bibliotecas.<\/p>\n Seg\u00fan Bleeping Computer, que reportado por primera vez<\/a> la corrupci\u00f3n, se dice que los cambios han sido una represalia, con el desarrollador tomando nota<\/a> que “Respetuosamente, ya no voy a apoyar a las empresas Fortune 500 (y otras empresas de menor tama\u00f1o) con mi trabajo gratuito”.<\/p>\n![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Agencias-de-EE-UU-y-el-Reino-Unido-advierten-sobre.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1647531380_961_Popular-paquete-de-NPM-actualizado-para-borrar-los-sistemas-de.jpeg\")
<\/div>\n![\"Evitar](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1646327406_168_Parches-criticos-emitidos-para-los-productos-Cisco-Expressway-Series-TelePresence.jpeg\")
<\/a><\/div>\n