chalk, debug などの人気npmライブラリにマルウェア入りのバージョンが公開されてサプライチェーン攻撃に繋がってるらしい。 chalk とかマジでどのライブラリでも入ってくるから結構大変な止血対応が必要になるやつでは。
なるほど...renovateでパッケージアップデート戦略を過去にとっていたけど、今後対策しないと難しいな
メンテナへのフィッシングによって複数の人気 npm パッケージにマルウェア入りのバージョンが公開された。chalk, debug, ansi-styles あたりがやられたのはかなりまずい
これかなり影響範囲広くて大変だ
"a series packages being pushed to npm, which appeared to contains malicious code."/この時代にパブリックなパッケージを作ってる人は大変だなあ。 https://x.com/yousukezan/status/1965192392686059894
“Starting at September 8th, 13:16 UTC, our Aikido intel feed alerted us to a series packages being pushed to npm, which appeared to contains malicious code. These were 18 very popular packages, backsl”
chalk, debug, ansi-styles がマルウェア侵害されたのは厳しすぎる...
パッケージマネージャ全般に起こりうる問題だと思うけど、とくにnpmで多いように見えるのは、利用者が多いからなのかな。
`debug`や`chalk`など著名なnpmパッケージにブラウザで動作するマルウェアを含むバージョンが公開された問題について。 現在はnpm registryから該当のバージョンは削除されている。 次のパッケージのバージョン影響を受けてい
直接使ってなくても依存関係の孫くらいに入っているものが多いので影響大ですが、迅速に対応されたのは良かった。こういうのは続きそうですね。
数が多いので雑なシェルスクリプト書いてnpm lsの出力をチェックしたけど、問題なさそうだった。とりま直近でモジュール更新してなければ大丈夫か?
npm debug and chalk packages compromised
chalk, debug などの人気npmライブラリにマルウェア入りのバージョンが公開されてサプライチェーン攻撃に繋がってるらしい。 chalk とかマジでどのライブラリでも入ってくるから結構大変な止血対応が必要になるやつでは。
なるほど...renovateでパッケージアップデート戦略を過去にとっていたけど、今後対策しないと難しいな
メンテナへのフィッシングによって複数の人気 npm パッケージにマルウェア入りのバージョンが公開された。chalk, debug, ansi-styles あたりがやられたのはかなりまずい
これかなり影響範囲広くて大変だ
"a series packages being pushed to npm, which appeared to contains malicious code."/この時代にパブリックなパッケージを作ってる人は大変だなあ。 https://x.com/yousukezan/status/1965192392686059894
“Starting at September 8th, 13:16 UTC, our Aikido intel feed alerted us to a series packages being pushed to npm, which appeared to contains malicious code. These were 18 very popular packages, backsl”
chalk, debug, ansi-styles がマルウェア侵害されたのは厳しすぎる...
パッケージマネージャ全般に起こりうる問題だと思うけど、とくにnpmで多いように見えるのは、利用者が多いからなのかな。
`debug`や`chalk`など著名なnpmパッケージにブラウザで動作するマルウェアを含むバージョンが公開された問題について。 現在はnpm registryから該当のバージョンは削除されている。 次のパッケージのバージョン影響を受けてい
直接使ってなくても依存関係の孫くらいに入っているものが多いので影響大ですが、迅速に対応されたのは良かった。こういうのは続きそうですね。
数が多いので雑なシェルスクリプト書いてnpm lsの出力をチェックしたけど、問題なさそうだった。とりま直近でモジュール更新してなければ大丈夫か?