食品が腐るように、 packages.jsonも時間とともにどこからかバイキンが入り込んで腐敗するものとして考えた方がいいのかもしれない
定期的にaudit掛けてるけど、こういうのあったりメンテナンス放棄は掴めないからなぁ。あそして“alongside 40+ other NPM packages ”ってどれなんだって、それすらnpmからわかるわけでもなし。
weekly 200万ダウンロードされている[@]ctrl/tinycolorというnpmパッケージや40以上のnpmパッケージがサプライチェーン攻撃を受けた。対象となるパッケージ名とバージョンの一覧が記載されている。
ctrl/tinycolor and 40+ NPM Packages Compromised - StepSecurity
食品が腐るように、 packages.jsonも時間とともにどこからかバイキンが入り込んで腐敗するものとして考えた方がいいのかもしれない
定期的にaudit掛けてるけど、こういうのあったりメンテナンス放棄は掴めないからなぁ。あそして“alongside 40+ other NPM packages ”ってどれなんだって、それすらnpmからわかるわけでもなし。
weekly 200万ダウンロードされている[@]ctrl/tinycolorというnpmパッケージや40以上のnpmパッケージがサプライチェーン攻撃を受けた。対象となるパッケージ名とバージョンの一覧が記載されている。