Dans ce qui est encore un autre acte de sabotage, le d\u00e9veloppeur derri\u00e8re le populaire package NPM “node-ipc” a livr\u00e9 une nouvelle version pour protester contre l’invasion de l’Ukraine par la Russie, soulevant des inqui\u00e9tudes quant \u00e0 la s\u00e9curit\u00e9 dans l’open-source et le cha\u00eene d’approvisionnement de logiciels<\/a>.<\/p>\n Affectant les versions 10.1.1 et 10.1.2 de la biblioth\u00e8que, les modifications ont introduit un comportement ind\u00e9sirable de la part de son responsable RIAEvangelist, ciblant les utilisateurs avec des adresses IP situ\u00e9es en Russie ou en Bi\u00e9lorussie, et effa\u00e7ant le contenu arbitraire des fichiers et le rempla\u00e7ant par un emoji en forme de c\u0153ur.<\/p>\n Node-ipc est un important module de n\u0153ud<\/a> utilis\u00e9 pour la communication inter-processus locale et distante avec prise en charge de Linux, macOS et Windows. Il compte plus de 1,1 million de t\u00e9l\u00e9chargements hebdomadaires.<\/p>\n “Un abus tr\u00e8s clair et un incident critique de s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement se produiront pour tout syst\u00e8me sur lequel ce paquet NMP sera appel\u00e9, si cela correspond \u00e0 une g\u00e9olocalisation de la Russie ou de la Bi\u00e9lorussie”, a d\u00e9clar\u00e9 le chercheur de Synk, Liran Tal. mentionn\u00e9<\/a> dans une analyse.<\/p>\n Le probl\u00e8me a re\u00e7u l’identifiant CVE-2022-23812<\/a> et est not\u00e9 9,8 sur 10 sur le syst\u00e8me de notation de vuln\u00e9rabilit\u00e9 CVSS. Les modifications du code malveillant ont \u00e9t\u00e9 publi\u00e9es le 7 mars (version 10.1.1), avec une deuxi\u00e8me mise \u00e0 jour 10 heures plus tard le m\u00eame jour (version 10.1.1).<\/p>\n Fait int\u00e9ressant, bien que la charge utile destructrice ait \u00e9t\u00e9 supprim\u00e9e de la biblioth\u00e8que avec la version 10.1.3, une mise \u00e0 jour majeure a \u00e9t\u00e9 pouss\u00e9e apr\u00e8s moins de quatre heures (version 11.0.0), qui a import\u00e9 une autre d\u00e9pendance appel\u00e9e “paixpasguerre<\/a>“, \u00e9galement publi\u00e9 par RIAEvangelist comme une forme de” protestation non violente contre l’agression de la Russie “.<\/p>\n “Chaque fois que la fonctionnalit\u00e9 du module node-ipc est appel\u00e9e, elle imprime sur STDOUT<\/a> un message extrait du module peacenotwar, et place un fichier sur le r\u00e9pertoire du bureau de l’utilisateur avec un contenu relatif \u00e0 la situation actuelle en temps de guerre de la Russie et de l’Ukraine \u00bb, a expliqu\u00e9 Tal.<\/p>\n Depuis le 15 mars 2022, la derni\u00e8re version de node-ipc – 11.1.0 – fait passer la version du package “peacenotwar” de 9.1.3 \u00e0 9.1.5 et regroupe la biblioth\u00e8que NPM “colors”, tout en supprimant \u00e9galement les messages de la console STDOUT .<\/p>\n Il convient de noter que les “couleurs”, ainsi qu’un autre package appel\u00e9 “faker”, \u00e9taient \u00e0 la fois intentionnellement sabot\u00e9<\/a> plus t\u00f4t en janvier par son d\u00e9veloppeur Marak Squires en introduisant des boucles infinies dans le code source, brisant efficacement d’autres applications qui d\u00e9pendaient des biblioth\u00e8ques.<\/p>\n Selon Bleeping Computer, qui signal\u00e9 pour la premi\u00e8re fois<\/a> la corruption, les changements auraient \u00e9t\u00e9 des repr\u00e9sailles, avec le d\u00e9veloppeur notant<\/a> que “respectueusement, je ne vais plus soutenir les Fortune 500 (et d’autres entreprises de plus petite taille) avec mon travail gratuit.”<\/p>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Des-pirates-informatiques-iraniens-utilisent-un-nouveau-logiciel-malveillant-despionnage.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647527927_86_Mise-a-jour-du-package-NPM-populaire-pour-effacer-la.jpeg\")
<\/div>\n![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646326908_645_Correctifs-critiques-publies-pour-la-gamme-Cisco-Expressway-les-produits.jpeg\")
<\/a><\/div>\n