食品が腐るように、 packages.jsonも時間とともにどこからかバイキンが入り込んで腐敗するものとして考えた方がいいのかもしれない
定期的にaudit掛けてるけど、こういうのあったりメンテナンス放棄は掴めないからなぁ。あそして“alongside 40+ other NPM packages ”ってどれなんだって、それすらnpmからわかるわけでもなし。
weekly 200万ダウンロードされている[@]ctrl/tinycolorというnpmパッケージや40以上のnpmパッケージがサプライチェーン攻撃を受けた。対象となるパッケージ名とバージョンの一覧が記載されている。
“Shai-Hulud”
Shai-Hulud サプライチェーン攻撃。 envやGithub tokenなどを集めて、Shai-Huludリポジトリとしてdata.jsonにbase64を2回かけた公開。 所有してるパッケージに対して自動的にマルウェアを入れて公開する
ctrl/tinycolor and 40+ NPM Packages Compromised - StepSecurity
食品が腐るように、 packages.jsonも時間とともにどこからかバイキンが入り込んで腐敗するものとして考えた方がいいのかもしれない
定期的にaudit掛けてるけど、こういうのあったりメンテナンス放棄は掴めないからなぁ。あそして“alongside 40+ other NPM packages ”ってどれなんだって、それすらnpmからわかるわけでもなし。
weekly 200万ダウンロードされている[@]ctrl/tinycolorというnpmパッケージや40以上のnpmパッケージがサプライチェーン攻撃を受けた。対象となるパッケージ名とバージョンの一覧が記載されている。
“Shai-Hulud”
Shai-Hulud サプライチェーン攻撃。 envやGithub tokenなどを集めて、Shai-Huludリポジトリとしてdata.jsonにbase64を2回かけた公開。 所有してるパッケージに対して自動的にマルウェアを入れて公開する