**[]( []( CVE-2022-23812 / node-ipc v10.1.1 và v10.1.2** Vụ tấn công chuỗi...

Tắt Quảng Cáo [X]

Đăng Nhập để ẩn Tất Cả Quảng Cáo

**[#j2team_news]( Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO) [#j2team_security]( Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO)
CVE-2022-23812 / node-ipc v10.1.1 và v10.1.2**

Vụ tấn công chuỗi nguồn cung ứng và hệ quả tương đương với 1 lệnh “sudo rm -rf” trên Linux, đạt CVSS 9.8.

Node-ipc là một thư viện mã nguồn mở chuyên dùng để giao tiếp giữa các tiến trình trên một hoặc giữa các máy chủ Node. Thư viện hiện có khoảng 5 triệu lượt tải mỗi tháng. Ở 2 phiên bản 10.1.1 và 10.1.2, chính nhà phát triển của thư viện node-ipc đã thêm vào đoạn mã độc dưới dạng base64 khiến cho toàn bộ file của mọi người dùng với IP ở Nga với Belarus bị xóa và thay thế với hình trái tim. ở trên Desktop cũng sẽ xuất hiện một file text với nội dung phản đối xung đột Nga - Ukraine. Với những người dùng không có IP ở Belarus hoặc Nga, tính năng xóa và thay thế file bị vô hiệu hóa.

Đã có những chương trình và thư việc khác bị ảnh hưởng bởi việc này, ví dụ là Unity Engine hay Vue CLI. ó tin đồn một tổ chức phi chính phủ ở Mỹ đã bị ảnh hưởng và mất hơn 30000 file dữ liệu về xung đột Nga - Ukraine, và dự kiến không có khả năng khôi phục.

Hiện vụ việc vẫn đang phát triển.

[ Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO

 

Những vụ như này hay faker.js thực sự sẽ phá vỡ lòng tin của mọi người vào mã nguồn mở

 

Ipc nó là 1 tiến trình quan trọng được sử dụng để giao tiếp giữa Client-server. Là 1 phần quan trọng để làm ra ứng dụng Electron: Teams, VScode vậy mà chơi 1 phát thế là toang quá nhỉ? Ông Node cho sử dụng miễn phí nhưng mà nhiều nhà phát triển chơi kiểu này thì phá hoại NPM và hệ sinh thái Node rồi còn đâu nữa.