2018/07/12 に発生したセキュリティ インシデント (eslint-scope@3.7.2) について - Qiita

2018 年 7 月 12 日に、ESLint 開発チームが管理する npm パッケージに悪意あるコードが挿入されるセキュリティ インシデントがありました。 ESLint からのアナウンス: https://eslint.org/blog/2018/07/postmortem-for-malicious-package-publishes npm からのアナウンス: https://status.npmjs.org/incidents/dn7c1fgrr7ng 以下の場合に npm install を実行したユーザーの npm アカウントへのログイン情報 (アクセストークン) が盗まれた恐れがあります (盗まれたアクセストークンはすでに無効化されています)。 日本時間の 18:49 から 19:25 の約 1 時間のあいだに npm install を実行し、eslint-config-e

[mysticatea]

書きました

[t-tanaka]

怖い。各言語の中央集権レポジトリは，セキュリティ上のSPOFだよなあ。

[manaten]

これ抜かれたのがnpmのトークンだからnpmの世界で閉じた対応になってるけど、sshの非公開鍵とかだったら悪夢だ

[stealthinu]

これはnpmで起こった事件だけど同様の問題は他のいろんな言語のパッケージマネージャでも起こりうる。こういうのはどう対策したらよいのだろうね。

[shozzy]

メンテナをやるようなレベルの人でもパスワード使い回してるのか、、、

[Fushihara]

すぐに気がついたのはよかった

[s025236]

攻撃者/メンテナ/npmの運営のすべての行動が早い！

[koyancya]

ひえ

[knok]

debだったらメンテナのOpenPGP署名があるのだけど。相互署名も本人確認をパスポートなどでしっかり確認してやっている。とはいえ同じような運用をするのは非常に困難

[youhey]

これは怖いなー。マイナーなライブラリは採用前に一通り目を通すようにしてるけど、メジャーなパッケージは無条件に信用しちゃってるし、バージョンアップとか全部確認できないしな……

[igrep]

“npm にパッケージを公開している開発者の方は、ご自身のパッケージに異常がないこと、二要素認証が有効になっていることの確認を”

[nntsugu]

MFA大事ね

[yasu-log]

npm文化の終焉。CDNでサクッと入れてサクッとつかう時代が復活して欲しい。

[clworld]

こわひ

[securecat]

こんな高度なリテラシー領域の住人からもパスワードの使いまわし問題が出てくるとはねえ

[rryu]

実行時にエラーになって発覚したということは新しいバージョンをリリースしてもメンテナの人は気づけないのか…

[Cherenkov]

“npm アカウント”

[kutakutatriangle]

自分の設定も見直しておかないと。

[gabill]

元カレの元カノの元カレの元カレの元カノ問題。eslintが「今後気をつけます」と言っても根本的な恐怖は取り除けなそう。

[masutaka26]

"今回アカウントをハックされたメンテナは他のサービスと npm とで同じパスワードを使っていたとのことで、他のサービスで流出したパスワードを用いてログインされてしまったものと考えられます。"

[KoshianX]

ひえ、また npm か。狙われがちなんだろうな……

[daruyanagi]

“パスワードの使い回しを避ける 多要素認証を有効化する これらのことを実施していれば避けられたインシデントでした。”

[teckl]

恐ろしい…

[ktanaka117]

パスの使い回しダメ＆多要素認証しよう

[hirokinko]

こわ…

[soy-curd]

たいおうしよう

[h3poteto]

ありがたい

[exsoul]

"特に ESLint 4 と Webpack が含まれている点で影響が大きいと考えられます。" よく聞くパッケージ名だ…！

[sonots]

😱

[mztnex]

“2018 年 7 月 12 日に、ESLint 開発チームが管理する npm パッケージに悪意あるコードが挿入されるセキュリティ インシデントがありました。”