セキュリティ インシデント flatmap-stream@0.1.1 と npm-run-all での対応 - Qiita

人気のある npm パッケージ event-stream (DL数: 2M/週) が悪意ある攻撃に利用されるというセキュリティ インシデントがありました。 私が管理する npm-run-all (DL数: 440K/週) も間接的に event-stream に依存していたため、インシデントの詳細と私の対応について触れておきます。 何をすべき? あなたのプロジェクトが event-stream に依存している場合は、この依存を削除し、代替手段を探すと良さそうです。event-stream の作者は、このパッケージをメンテナンスしないと明言しています。ただ、これだけ騒ぎになったので、信用できる誰かが引き継ぐ可能性はあります。 [編集(2018/11/30)] 現在は npm 社がパッケージ管理を引き継いでいます。ただ、リポジトリは凍結されており、今後変更されることはないでしょう。 次に、あな

[Fushihara]

ゆうても防ぎようがないよなあ

[surumedaka]

仮想通貨ぬすみぬすみ

[akabekobeko]

審査はコスト面で難しいからパーミッションかな。通信や eval 動的などを段階制限。それでも標的型だと安全な機能の組み合わせで突破されそうではある。

[AKIMOTO]

信頼できるとかできないとか、とても判定できる気がしない

[delphinus35]

これは巧妙……

[naglfar]

時系列が興味深い。

[karia]

時系列がやばい。。。

[hoppie]

面白い(と言っちゃいけないけど)・興味深い話だった。

[gfx]

去年のこの件をあらためて眺めてる。ほんとに巧妙で、こんなのを仕込まれても分からんわ…。

[mole-studio]

（良くない表現だと分かって言うが）パッケージ狙い撃ちして悪意のあるコードを暗号化するのはハッカーっぽい

[z67kjh]

おそろしい

[mysticatea]

無関係ではなかったので、書きました。