• はてなブックマーク
  • テクノロジー
  • npmjs.com で著名ソフトウェアによく似た名前のマルウェアが大量に発見された - Islands in the byte stream
  • Twitterでシェア
  • Facebookでシェア

npmjs.com で著名ソフトウェアによく似た名前のマルウェアが大量に発見された - Islands in the byte stream

テクノロジー カテゴリーの変更を依頼 記事元:gfx.hatenablog.com
適切な情報に変更
365 usersがブックマーク コメント59

    記事へのコメント59

    • 注目コメント
    • 新着コメント
    オーナーコメントを固定しています
    gfx
    オーナー gfx とりいそぎ

    2017/08/02 リンク

    その他
    z1h4784
    z1h4784 npmは脆弱性対策をする気がないと堂々宣言しているんだから対処法なんてない。イケてるフロントエンドエンジニアの皆様は是非この点を顧客にもきちんと説明していただきたい

    2017/08/02 リンク

    その他
    laiso
    laiso “つまり、 あなただけでなく依存ツリー中の誰かがミスって偽パッケージを使っただけであなたの環境が攻撃対象になる ということです。” きつい

    2017/08/02 リンク

    その他
    yasu-log
    yasu-log これはヤバイ。開発者個人のミスによる漏洩を警戒して「npmを使うな」文化が広がる。npmはOSSの性善説で成り立ってて昔から危ないと思ってたけど、問題が顕著になった印象。

    2017/08/02 リンク

    その他
    oooooooo
    oooooooo gem の bundler じゃなく bundle もいい加減どうにかならないのか

    2017/08/02 リンク

    その他
    bps_tomoya
    bps_tomoya ひとたび `npm ls` を叩くと分かるんだけれど、直接依存するパッケージがごく僅かでも内部依存が想像以上で見る気を無くしてしまうのだ。

    2017/08/02 リンク

    その他
    escape_artist
    escape_artist そりゃあそうだろうという感想しか

    2017/08/02 リンク

    その他
    macoshita
    macoshita 分かってはいたけどつらい

    2017/08/02 リンク

    その他
    marmot1123
    marmot1123 マルウェア判定されたパッケージ名のデータベース共有してチェックをすれば良い気はするが、最初の1人は防げないよなあ……

    2017/08/02 リンク

    その他
    オーナーコメントを固定しています
    gfx
    オーナー gfx とりいそぎ

    2017/08/02 リンク

    その他
    aroma_black
    aroma_black "あなただけでなく依存ツリー中の誰かがミスって偽パッケージを使っただけであなたの環境が攻撃対象になる"

    2017/08/09 リンク

    その他
    tmatsuu
    tmatsuu ネームスペース問題か。その意味では他の言語でも狙われる可能性はあるんだけども、標準ライブラリ的なものの存在の有無は大きいのかもしれない。

    2017/08/05 リンク

    その他
    tyru
    tyru ウッ

    2017/08/03 リンク

    その他
    UDONCHAN
    UDONCHAN ひょえ〜

    2017/08/03 リンク

    その他
    morygonzalez
    morygonzalez npm 、定期的にこういうの起こってる気がする。

    2017/08/03 リンク

    その他
    sho
    sho 「対策がない」って投げ出すんじゃなくて、なんらかの……せめて緩和策くらいは考えたいなぁ、こういうの。

    2017/08/03 リンク

    その他
    longroof
    longroof そうよなぁ(;´Д`)…

    2017/08/03 リンク

    その他
    sonots
    sonots げー

    2017/08/03 リンク

    その他
    wats2012
    wats2012 自衛手段としてgithubのリンク無いものは使わないくらいはできるけど、依存モジュールまでは確認してられないからなぁ。

    2017/08/03 リンク

    その他
    gabill
    gabill 有用なChromeプラグインが買収されてある日突然マルウェアに化ける騒動がよくあるけど、それがこの手のパッケージマネージャで起こったら怖いなぁ。

    2017/08/03 リンク

    その他
    crema
    crema 悪意は遍在するんだなぁ。嫌だけど。

    2017/08/03 リンク

    その他
    habarhaba
    habarhaba なにそれ。オープンソースのメリット何もねえ〜〜〜〜〜

    2017/08/02 リンク

    その他
    escape_artist
    escape_artist そりゃあそうだろうという感想しか

    2017/08/02 リンク

    その他
    tgoto63
    tgoto63 こわいな

    2017/08/02 リンク

    その他
    kawa106
    kawa106 npm lsをそのまま目で見たら辛いと仰せの方は、元記事にとりあえずチェック用ワンライナーがあるので参考にしては。まあ、grepしてるだけだけどね

    2017/08/02 リンク

    その他
    muuran16
    muuran16 この件セキュリティベンダーと調整中とかじゃなかったっけ?一年以上前に。。 この脆弱性のおかげで、ignore-scriptsを強制してるけど、みんなどうしてるんだろ

    2017/08/02 リンク

    その他
    zyzy
    zyzy うげげげげ。珍しくnpm触ったタイミングでこれは。

    2017/08/02 リンク

    その他
    kfujii
    kfujii ああー。

    2017/08/02 リンク

    その他
    kazoo_oo
    kazoo_oo きつい。

    2017/08/02 リンク

    その他
    marmot1123
    marmot1123 マルウェア判定されたパッケージ名のデータベース共有してチェックをすれば良い気はするが、最初の1人は防げないよなあ……

    2017/08/02 リンク

    その他
    z1h4784
    z1h4784 npmは脆弱性対策をする気がないと堂々宣言しているんだから対処法なんてない。イケてるフロントエンドエンジニアの皆様は是非この点を顧客にもきちんと説明していただきたい

    2017/08/02 リンク

    その他
    mirucons
    mirucons あの大量のツリーの中から探し出さなきゃいけないわけか…つらい

    2017/08/02 リンク

    その他
    Futaro99
    Futaro99 あっ、こわい

    2017/08/02 リンク

    その他
    AKIMOTO
    AKIMOTO API secretとかが持ってかれちゃうな

    2017/08/02 リンク

    その他
    ngyuki
    ngyuki まじか

    2017/08/02 リンク

    その他
    tkysktmt
    tkysktmt “マルウェアである偽パッケージの一例をあげると、 babelcli, d3.js, ffmepg, jquery.js, mysql.js, openssl.js などです。これらのパッケージが依存関係にある場合、tokenなどの秘匿値を再生成すべき”

    2017/08/02 リンク

    その他
    kabochatori
    kabochatori 昨年もleftpad削除問題とかあったね。

    2017/08/02 リンク

    その他
    uskey
    uskey ぐえーという感じだ

    2017/08/02 リンク

    その他
    karupanerura
    karupanerura うわあ

    2017/08/02 リンク

    その他
    rjge
    rjge `npm ls` した段階でめまいがした

    2017/08/02 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    npmjs.com で著名ソフトウェアによく似た名前のマルウェアが大量に発見された - Islands in the byte stream

    Malicious packages in npm. Here’s what to do | Ivan Akulov’s blog People found malicious packages...

    ブックマークしたユーザー

    • stoikheia2021/08/04 stoikheia
    • sharaku3eyes2018/08/03 sharaku3eyes
    • nekonenene2017/09/15 nekonenene
    • sawarabi01302017/08/13 sawarabi0130
    • prototechno2017/08/10 prototechno
    • aroma_black2017/08/09 aroma_black
    • ymm1x2017/08/08 ymm1x
    • lanius2017/08/08 lanius
    • tohu-soy2017/08/08 tohu-soy
    • tmatsuu2017/08/05 tmatsuu
    • ama-ch2017/08/05 ama-ch
    • hush_in2017/08/05 hush_in
    • moqada2017/08/05 moqada
    • flatbird2017/08/04 flatbird
    • yutamoty2017/08/04 yutamoty
    • dpprkng2017/08/04 dpprkng
    • labunix2017/08/04 labunix
    • s_mori2017/08/04 s_mori
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.