Malicious packages in npm. Here’s what to do

What happened?# People found malicious packages in npm that work like real ones, are named similarly real ones, but collect and send your process environment to a third-party server when you install them: @kentcdodds Hi Kent, it looks like this npm package is stealing env variables on install, using your cross-env package as bait: pic.twitter.com/REsRG8Exsx — Oscar Bolmsten (@o_cee) August 1, 2017

[efcl]

npmのフィッシングモジュール

[okinaka]

PaaS とか CI サービスとかは重要な情報(トークンなど) が環境変数に入っていることが多いので危険な訳ですね。

[ginpei]

"jquery.js"や"babelcli"等、「紛らわしい名前のnpmパッケージ」のマルウェアが発見された。対象パッケージ名の一覧と、調査コマンド（一行）も掲載。（正解は"jquery", "babel-cli"等。）

[tbpg]

"This isn’t surprising – npm doesn’t have any protection against this yet. In fact, that’s why there could be other malicious packages. Stay careful and check package names."

[localdisk]

ﾋｪｯ

[tyage]

やっぱりこういうの出てきたか-

[sora_h]

うぅ

[ainame]

やばそう

[nantan]

これはヒドイ

[yasu-log]

【B!】Malicious packages in npm. Here’s what to do

[manaten]

ソーシャルコーディング時代の悪意

[june29]

ひええ、これは厳しい悪意。プラットフォーム側の対応を期待したいところ。

[teppeis]

npmで著名パッケージと似たjquery.js等の名前で公開されていたパッケージがinstallスクリプトで環境変数を外部サーバーに送信していたことが発覚

[mole-studio]

これまでも全くなかったかというと、分からないよね

[joe-re]

ひどいなー。preinstallかpostinstallのライフサイクルでリクエストを送信しているということだと思うので、そのライフサイクルの中での通信を遮断するとかできないんだろうか

[S64]

👀

[gfx]

“Regenerate the secret tokens if you installed any package from these as a dependency:”

[yosuke_furukawa]

cross-env をcrossenv にしたり、 jquery を jquery.js にしたりと類似名のnpmモジュールを作っておいてそこに脆弱性を仕込むというやり口、悪意有りすぎる。