2017/08/02 13:16:58
gfx
とりいそぎ
2017/08/02 13:18:41
chezou
“あるパッケージによく似た名前で同じように動くが、パッケージのインストール時にプロセスの環境変数を外部のサーバに送信する”
2017/08/02 13:26:00
labocho
邪悪...
2017/08/02 13:31:41
watass
はえー
2017/08/02 13:42:51
laiso
“つまり、 あなただけでなく依存ツリー中の誰かがミスって偽パッケージを使っただけであなたの環境が攻撃対象になる ということです。” きつい
2017/08/02 13:54:29
y___u
"これらのパッケージが依存関係にある場合、tokenなどの秘匿値を再生成すべき"
2017/08/02 14:01:11
auient
依存性地獄感
2017/08/02 14:08:03
bouzuya
まあ、あるだろうなあ
2017/08/02 14:12:08
teppeis
参考: http://teppeis.hatenablog.com/entry/2016/03/npm-vulnerability-and-open-source-trust
2017/08/02 14:35:44
igrep
hackageは(haddockの生成が追いついていれば、という条件付きだけど)簡単にソースが見られるのでよかった。
2017/08/02 14:58:18
macoshita
分かってはいたけどつらい
2017/08/02 15:03:47
ledsun
なるほど、厳しい。
2017/08/02 15:04:19
bps_tomoya
ひとたび `npm ls` を叩くと分かるんだけれど、直接依存するパッケージがごく僅かでも内部依存が想像以上で見る気を無くしてしまうのだ。
2017/08/02 15:08:59
NineGates
npmjs.com で著名ソフトウェアによく似た名前のマルウェアが大量に発見された People found malicious packages in npm that work like real ones, are named similarly real ones, but collect and send your process environment to a third-party server when you install them 悪意
2017/08/02 15:09:41
rryu
遂にオープンソース界にもマルウェアが……
2017/08/02 15:13:33
tofu-kun
依存が強い
2017/08/02 15:21:58
june29
厳しいなあ…。
2017/08/02 15:22:27
Quramy
こわい
2017/08/02 15:26:41
yasu-log
これはヤバイ。開発者個人のミスによる漏洩を警戒して「npmを使うな」文化が広がる。npmはOSSの性善説で成り立ってて昔から危ないと思ってたけど、問題が顕著になった印象。
2017/08/02 15:31:58
KentarouTakeda
npxがnpmと同梱されたタイミングを狙ってきたのは明白。npmはパーミッションモデルを採用すべきと前から感じていた。開発側も利用側も対応大変そうだけどそれで安全と安心が得られるのであれば安いもの。
2017/08/02 15:35:49
side_tana
ヒョエ〜〜〜〜〜〜
2017/08/02 15:38:25
knjname
インストールスクリプト機構持ってるからやり放題だし、悪意なくとも似てるのもある。 / https://t.co/VuU76QVbpY で著名ソフトウェアによく似た名前のマルウェアが大量に発見された
2017/08/02 15:38:46
oooooooo
gem の bundler じゃなく bundle もいい加減どうにかならないのか
2017/08/02 15:49:41
uraway
こえええ
2017/08/02 15:51:06
tmd45
"d3.js" とかパッと見間違いわからんこえぇ
2017/08/02 15:53:09
tbpg
"悪意のあるパッケージがnpmで発見された。それらは、実際のパッケージによく似た名前で同じように動くが、パッケージのインストール時にプロセスの環境変数を外部のサーバに送信する"
2017/08/02 16:01:20
YassLab
“マルウェアである偽パッケージの一例をあげると、 babelcli, d3.js, ffmepg, jquery.js, mysql.js, openssl.js などです。これらのパッケージが依存関係にある場合、tokenなどの秘匿値を再生成すべきとのこと。”
2017/08/02 16:13:39
hdampty7
識別方法を教えてくれ~。って調べてみるか。
2017/08/02 16:29:31
keim_at_Si
これ、結構きっついな。良い対策が見当つかない
2017/08/02 16:39:47
tydk27
ちなみにyarnは配布パッケージの中身がWebから見れるよ。
2017/08/02 16:50:13
lbtmplz
え、無理…
2017/08/02 16:55:45
rjge
`npm ls` した段階でめまいがした
2017/08/02 17:05:46
kamemoge
オープンソースこわい
2017/08/02 17:12:04
karupanerura
うわあ
2017/08/02 17:27:31
uskey
ぐえーという感じだ
2017/08/02 17:52:09
kabochatori
昨年もleftpad削除問題とかあったね。
2017/08/02 17:56:26
tkysktmt
“マルウェアである偽パッケージの一例をあげると、 babelcli, d3.js, ffmepg, jquery.js, mysql.js, openssl.js などです。これらのパッケージが依存関係にある場合、tokenなどの秘匿値を再生成すべき”
2017/08/02 18:15:58
ngyuki
まじか
2017/08/02 18:27:05
AKIMOTO
API secretとかが持ってかれちゃうな
2017/08/02 18:50:44
jiminko
uglify.jsとuglify-js
2017/08/02 18:52:03
Futaro99
あっ、こわい
2017/08/02 19:11:14
mirucons
あの大量のツリーの中から探し出さなきゃいけないわけか…つらい
2017/08/02 19:38:18
z1h4784
npmは脆弱性対策をする気がないと堂々宣言しているんだから対処法なんてない。イケてるフロントエンドエンジニアの皆様は是非この点を顧客にもきちんと説明していただきたい
2017/08/02 19:55:23
marmot1123
マルウェア判定されたパッケージ名のデータベース共有してチェックをすれば良い気はするが、最初の1人は防げないよなあ……
2017/08/02 20:03:14
kazoo_oo
きつい。
2017/08/02 20:28:46
moyacab
atom...
2017/08/02 20:54:00
kfujii
ああー。
2017/08/02 21:23:23
zyzy
うげげげげ。珍しくnpm触ったタイミングでこれは。
2017/08/02 21:23:28
muuran16
この件セキュリティベンダーと調整中とかじゃなかったっけ?一年以上前に。。 この脆弱性のおかげで、ignore-scriptsを強制してるけど、みんなどうしてるんだろ
2017/08/02 21:34:06
kawa106
npm lsをそのまま目で見たら辛いと仰せの方は、元記事にとりあえずチェック用ワンライナーがあるので参考にしては。まあ、grepしてるだけだけどね
2017/08/02 22:01:46
xevra
ヤバいと思っていたがついに来たか。残念だよ
2017/08/02 22:21:26
tgoto63
こわいな
2017/08/02 22:51:30
escape_artist
そりゃあそうだろうという感想しか
2017/08/02 23:48:57
habarhaba
なにそれ。オープンソースのメリット何もねえ〜〜〜〜〜
2017/08/03 00:01:15
ore_de_work
chinachuのアップデートは鬼門 まいかいビクビクする
2017/08/03 02:47:01
crema
悪意は遍在するんだなぁ。嫌だけど。
2017/08/03 06:31:18
gabill
有用なChromeプラグインが買収されてある日突然マルウェアに化ける騒動がよくあるけど、それがこの手のパッケージマネージャで起こったら怖いなぁ。
2017/08/03 06:33:20
wats2012
自衛手段としてgithubのリンク無いものは使わないくらいはできるけど、依存モジュールまでは確認してられないからなぁ。
2017/08/03 10:08:50
sonots
げー
2017/08/03 11:26:17
longroof
そうよなぁ(;´Д`)…
2017/08/03 11:50:11
sho
「対策がない」って投げ出すんじゃなくて、なんらかの……せめて緩和策くらいは考えたいなぁ、こういうの。
2017/08/03 12:38:26
morygonzalez
npm 、定期的にこういうの起こってる気がする。
2017/08/03 14:59:27
UDONCHAN
ひょえ〜
2017/08/03 22:28:06
garage-kid
371
2017/08/03 22:28:47
tyru
ウッ
2017/08/05 21:56:50
tmatsuu
ネームスペース問題か。その意味では他の言語でも狙われる可能性はあるんだけども、標準ライブラリ的なものの存在の有無は大きいのかもしれない。