‘-‘ という名前の、中身が無いのに70万回ダウンロードされてる謎のnpmパッケージ

– という名前の JavaScript/TypeScript パッケージについて警告を発している記事が話題となっています。 このパッケージ、中身はほとんど空で、Readme と、dev で TypeScript を動かせるようにするライブラリ群を呼ぶ箇所だけのもの。 しかし、この “-” を使っている他の npm パッケージが 50個以上あり、約一年前の公開時からのトータルのダウンロード数は72万回にもなります。 しかし、”-” を読み込んでいるパッケージを見てみても、”-” が必要そうには見えません。 警告記事では、この無名のパッケージが密かに使われるようになった原因が、npm コマンドのコマンドラインを打つときのミスタイプにあるのではないかとの仮説を立てています。 つまり、someFlag というオプションを使い npm i -someFlag somepackage と打つべきところ

[mimosafa]

'-' が可愛過ぎて、実際は - っていうパッケージの話なんだ… っていう落胆が記事の重要性を弱体化してる

[sqrt]

この名前で悪意あるパッケージを公開できないように、防御的に空のパッケージを置いてるって線もあるかな…

[mattn]

こういうのでマルウェア入ってしまう可能性もありそうだなぁ。

[kobito19]

普通にパッケージマネージャの脆弱性だと思うけど。パッケージマネージャこういう話多いよね、npmは突出してる気もするけど。

[sisya]

AmazonMusicにも「Test」のような名前のアルバムがあり、中身は自動生成されたようなBGMが1分1曲入っているのみというものがある。人のミスタイプにつけこむ罠は中々対処しきれない。

[gfx]

typo狙いでマルウェアを仕込むのはよくある手なのでこれはnpmが停止するべきだと思うなあ。

[toshiyam]

ʕ•̫͡•ʕ•̫͡•ʔ•̫͡•ʔ•̫͡•ʕ•̫͡•ʔ•̫͡•ʕ•̫͡•ʕ•̫͡•ʔ•̫͡•ʔ•̫͡•ʕ•̫͡•ʔ•̫͡•ʔ ‘-‘ ʕ•̫͡•ʕ•̫͡•ʔ•̫͡•ʔ•̫͡•ʕ•̫͡•ʔ•̫͡•ʕ•̫͡•ʕ•̫͡•ʔ•̫͡•ʔ•̫͡•ʕ•̫͡•ʔ•̫͡•ʔ

[munieru_jp]

記号のみのパッケージ名ってvalidなのか

[behuckleberry02]

顔文字かと思ったら違った ‘-‘ なぜか本文中に3種類いる ”-“ “-“ ‘-‘

[Cru]

むしろパッケージ名に禁則がないのが驚きだよね

[John_Kawanishi]

新手のTyposquattingになってしまうのか!?

[trkbt10]

npmとinstall、addやyarnもインストールしがちです

[hedachi]

面白い

[Dragoonriders]

´ཀ`

[maemuki]

‘-‘ 気に入ったのでユーザー辞書に登録しました‘-‘ ‘-‘ ‘-‘

[spark7]

セキュリティホールになりそうで怖えな

[richard_raw]

えええ、npmのコマンドラインパースどうなってるんだ……。

[unijam]

“原因が、npm コマンドのコマンドラインを打つときのミスタイプにあるのではないかとの仮説を立てています。”

[saikyo_tongaricorn]

サーバーの[ってやつ消しときました！

[cj3029412]

盲腸みたいなかわいいやつよwww (危ないw)

[tockri]

slコマンドみたいなやつな。

[ponpon_qonqon]

ブコメに埋まってるけど、- で始まるトークンをすべて予約しておかなかったnpm側のコマンド引数仕様バグだとオレも思う。だって - 以外に「-存在しないフラグ」もパッケージ作れちゃうってこと？？

[ledsun]

ああ、俺が先に気がついていたらpost installスクリプトで、インストールした人のコンソールに、プギャーってAAを出力したのに…

[Albert_Einstein]

「はてなブックマーク」クローム拡張、中身が無いのに7万回ダウンロードされている謎、と勘違いしてた。。。

[knok]

CPAN, CRAN等誰でもパッケージ作って登録できるリポジトリである以上どうしようもないのではとも思うけど

[Mabuo_H]

脆弱性では？と思った。

[rryu]

パッケージ「-」が無いという謎のエラーに対して「-」というパッケージを作ることで解決したという可能性も…

[haatenax]

関係ないけどハッカーニュースで原文のバズり記事読んで翻訳記事書こうかなあと考えた翌日に日本語訳記事がバズってるの見るとちょっと悔しい

[hrmk4]

<|'-' |ﾊｰｲ

[iww]

なんかやる前に見つかっちゃった感じか・・・

[fukken]

マージする前に、 package.json もちゃんとコードレビューしような！

[progrhyme]

また1つnpmの怖い話が

[rx7]

悪用されたりするとコワいですね...

[sirobu]

typoを誘って偽物のパッケージを導入させる手口とか出てきそうな

[ka-ka_xyz]

間違って入れちゃうといえば、 "ios"と"android"パッケージ。( `npx cordova platforms add ios`と間違えて`npx cordova plugins add ios`とやってしまっていつの間にかpackage.jsonに入ってた。

[onesplat]

問題だとは思うけど、どうあるべきだったのかはよくわからんな。npmがもう少し命名規約を厳しくすべきだったのか、開発者が杜撰なだけなのか

[tmurakam]

引数のパースすらまともにできないんかい。普通にバグじゃろ。

[d6rkaiz]

マルウェア化する前に停止して欲しい案件

[suginoy]

Chrome 拡張みたいに悪意ある輩が譲渡を持ちかけてきそう。

[arapro]

'-'「かわいいって言われた」