Postmortem for Malicious Packages Published on July 12th, 2018 - ESLint - Pluggable JavaScript Linter

テクノロジーカテゴリーの変更を依頼記事元:

eslint.org

22 usersがブックマークコメント

記事へのコメント3件

注目コメント
新着コメント

ABA eslintのパッケージがpostinstall時にnpmへの認証トークンを盗み出すように改変されていた話。webpackにも影響。npmは全トークンを取り消し

2018/07/13 リンク

ohbarye パッケージメンテナーはパスワード使い回しやめてnpmの二要素認証有効にしてnpmへのアクセス権をちゃんと管理すること、パッケージ利用者は package-lock.json や yarn.lock を使って予期しない更新を避けることが推奨されている

2018/07/13 リンク

efcl `.npmrc`の内容を盗み取る`eslint-scope@3.7.2`と`eslint-config-eslint@5.0.2`が公開された問題についてのレポート。パスワードリスト攻撃で取られてたアカウントのtokenから直接publishされ、その後npm incによって全ユーザーのtokenがリセッ

2018/07/13 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

Postmortem for Malicious Packages Published on July 12th, 2018 - ESLint - Pluggable JavaScript Linter

Published 12 Jul, 2018 under Postmortems Postmortem for Malicious Packages Published on July 12th... Published 12 Jul, 2018 under Postmortems Postmortem for Malicious Packages Published on July 12th, 2018 Malicious versions of some ESLint packages were published (now unpublished) and we are sorry about this. We share details of the attack and our precautionary recommendations for package maintainers. Please check that you are not using the affected packages. Summary On July 12th, 2018, an attacke