2018/11/27に判明したnpmパッケージ乗っ取りについて - Qiita

概要 event-streamというnpmパッケージに攻撃コードが混入されました。攻撃コードはflatmap-streamというパッケージに含まれており、event-stream パッケージはこの flatmap-stream への依存性を追加される形で間接的に攻撃コードの実行を行う状態になっていました。 攻撃コードが分析された結果、copayというBitcoinウォレットからクレデンシャルを盗むことを目的とされていたことが確認されています。 参考リンク 調査が行われているGitHub Issue HackerNewsスレッド Details about the event-stream incident - The npm Blog 影響をうけたパッケージ event-stream@3.3.6 flatmap-stream@0.1.1 flatmap-stream@0.1.1 パッケージ

[rryu]

event-streamの作者がメンテ放置している時に引き継いでくれる人が来たと思ったらそれが悪意ある人だったという感じらしい。メンテナが変わったら別パッケージ扱いにすべきな気がする。

[sho]

乗っ取ったパッケージには依存先を追加するだけで攻撃コード自体は直接見えてないあたりが巧妙で悪質だ。普通に使ってたら絶対気づけない。

[NOV1975]

怖い。こういうのがオープンライブラリ上で防げないとまた「外部ライブラリを使うなどまかりならん」文化が戻ってきてしまう…。でも、全員を監視するわけにもいかんしなあ。

[NetPenguin]

この手の依存ライブラリがいつの間にかに汚染されている問題、ちゃんと防ごうとすると結構むずかしそうだよね。ライブラリが信用できることを保証する仕組みがあると良いけど、柔軟性が失われそう。

[ledsun]

1584パッケージが依存している“event-stream”が乗っ取られたのはビビった。https://www.npmjs.com/package/event-stream

[rAdio]

またか。npmの混沌さが狙われる原因なのかね…。

[mas-higa]

いろいろ凝った作りだなあ

[rin51]

こんなのよく気づいたな...

[nilab]

2018/11/27に判明したnpmパッケージ乗っ取りについて - Qiita

[hasegawatomoki]

すごい…。そこまでやってるのか、という印象。やはりカネは人を本気にするな。

[hirorock]

例のあれ

[programmablekinoko]

うぉー

[kutakutatriangle]

攻撃方法が巧妙だという感想。

[sion_cojp]

これやられるとどうしようもないなぁ。不謹慎だけど、結果いくら稼げたのかは気になる

[igaiga07]

][security]

[mizchi]

process.env.npm_package_description 知らんかった。なるほど

[katsyoshi]

なんでnpmだけがこうも狙われてるんだろう（npmだけが問題というわけではなさそうなのに

[bootJP]

2018/11/27に判明したnpmパッケージ乗っ取りについて

[niwatako]

“攻撃コードが分析された結果、copayというBitcoinウォレットからクレデンシャルを盗むことを目的とされていたことが確認されています。”

[gfx]

“攻撃コードが分析された結果、copayというBitcoinウォレットからクレデンシャルを盗むことを目的とされていたことが確認されています”

[ravelll]

“攻撃対象のnpmパッケージから実行されない限り攻撃コードが実行されず、またコードから挙動を解析する際にも攻撃対象のパッケージがわからないと攻撃ペイロードを復号化できないようになっています。”

[houyhnhm]

なぬ。