colorsなどのnpmパッケージに悪意あるコードが含まれている問題について

追記: 2022年1月11日 2:29 JSTにDoS脆弱性としてセキュリティアドバイザーが出されて、悪意あるバージョン(1.4.1や1.4.2)はnpmからunpublishされ、npmの最新は安全なバージョンである1.4.0へと変更されました。 Infinite loop causing Denial of Service in colors · GHSA-5rqg-jm4f-cqx7 · GitHub Advisory Database 2022-01-08 に colors というnpmパッケージにDoS攻撃のコードが含まれたバージョンが1.4.44-liberty-2として公開されました。 GitHub: https://github.com/Marak/colors.js npm: https://www.npmjs.com/package/colors 問題についてのIssu

[efcl]

colors.jsにDoS攻撃のコードを入れたものがpublishされていた問題について。 npmパッケージの直接的/間接的依存のチェック方法やYarnの`resolutions`、npm 8.3+の`overrides`でのバージョン固定方法について。

[j1nsuke]

こプロジェクトを進めるために代替を探したりバージョンを固定する時、Marak氏がどんな思いでこのリリースをしたのかつい考えてしまって持っていかれそうになる。

[xlc]

火事により困窮したOSS作者が復讐のために悪意のあるコードを埋め込んだという闇。npm もYouTubeみたいに利用数に応じた収益化ができるといいのにね。npm-force-resolutions を使えば古いnpmでもバージョンを固定できるはず。

[prograti]

真意は分かりませんが作者のブログを見るにOSSの恩恵を受けながら何の対価も支払わない企業に対して不満を持ってるような感じを受けたので色々思うところがあったのかもしれませんね。

[hylom]

こういうのがあるからなるべくディストリビューション公式パッケージでライブラリ入れたいんだよな……

[fai_fx]

Marak氏は https://b.hatena.ne.jp/entry/s/note.com/takahiroyte/n/nd6cceae3af04 OSSのゆく道：Faker.jsの顛末 で話題になった人...

[yamadar]

問題のコミットログがお祭り会場になってる https://github.com/Marak/colors.js/commit/074a0f8ed0c31c35d13d28632bd8a049ff136fb6

[kotas]

善意と信頼から成り立つ共産主義的コミュニティの歪みが可視化されてきた感。利益不均衡による格差が大きくなると秩序は崩壊する。

[ya--mada]

なるほど、世知辛いですね。https://note.com/takahiroyte/n/nd6cceae3af04

[likibp]

https://twitter.com/sadakato/status/1480537297997406217

[Shisama]

著名npmパッケージcolorsで起きている問題の一時的な対応方法が紹介されている。Yarnのresolutionsやnpmのoverridesを使ってバージョンを固定する

[HHR]

炎上はさておき、yarn, npm v8.3+, npm v8.2-での対応方法はこれで決まりっぽい

[tmatsuu]

golangのminimal version selection（とmirrorsとgo.sum）は今回のような悪意あるversiom bumpもうまく回避できているのでなるほどと思った。

[ducktoon]

GitHubに気軽に投げ銭できるシステムがあれば良いな

[latena]

意外に日本在住のスポンサーが多い https://github.com/sponsors/Marak

[mas-higa]

これは兵庫県警が黙ってへんやろ

[rryu]

ここ数年活動してなかった作者が突如masterに謎のコミットをしてリリースし、現在アクティブな開発者が対応しているという状況らしい。

[WindyWindriyas]

faker.jsの作者関係のやつか、アカウントが乗っ取られたかお金に困ってたらしいのでアカウントを悪意あるものに渡した線もあるかも。

[Nean]

“追記: 2022年1月11日 2:29”

[youhey]

優秀なエンジニアが善良で公平とは限らず、もし善意に満ちて信頼を大事にしてたとしてもセキュリティが万全である保証もないわけで、、、諸行無常

[ko-ya-ma]

[[npm][yarn]

[lenore]

連休明け前に対応されて良かった。頭が下がります。

[mumei-0]

“colors というnpmパッケージにDoS攻撃のコードが含まれたバージョンが1.4.44-liberty-2として公開されました。”

[gabill]

大量のライブラリに依存するWeb開発の風潮。これもう限界なんじゃないかな。少数のzero dependencyなライブラリにのみ依存する戦略にシフトする流れも出てきそう。

[knok]

distroがパッケージ化するときにupstreamと関係が悪くなって、そのdistro狙い撃ちで意図しない(若干悪意のある)挙動を仕込んだ例もあって、なかなかなあ…

[ustam]

css-loader や storybook で使ってる？　僕のところはギリギリ該当バージョンじゃなかった。

[hidea]

アカウント乗っ取りかと思いきや本人のヤケの可能性もあるのか。こうなると今の仕組みじゃ防ぎようもないな。

[ghostbass]

にゃ、cypressも影響受けるのか

[estragon]

Node.jsのパッケージマネージャnpmやyarnで使われてるcolorsというパッケージに悪意のコードが埋め込まれたとのこと。npmやyarn以外に最大五万個のパッケージに取り込まれてるかもとか

[oqzl]

影響範囲がでかい

[Falky]

OSSに限らず、有名な製品・会社であっても闇落ちする事例というのはままあることなので、OSSの問題とかって論じるようなことではないかな。朝になったら対応しないとなこれ……寝よ。

[sisya]

買い取られて悪意のあるコードになってしまう場合もあれば、作者自らこうしてしまう場合もある。オープンソースというシステムの限界を感じる。

[hisasann]

“また、npmでは2016年の通称leftpadという問題をきっかけに、publishしてから24時間以上経過したパッケージのunpublishは基本的にできません。”

[ys0000]

アカウントを乗っ取られたか、精神を乗っ取られてダークサイドに落ちたのか、いずれにしても現状では該当パッケージに難があるという事は間違いない。当たり前だがOSS文化も万能ではないなぁ。

[H_He_Li_Be]

アカウントを乗っ取られたんだと勝手に思い込んで読んでたけど、ブコメによると正式な開発者が意図的にやったのか。

[skypenguins]

闇堕ちかあ…

[a96neko]

OSSで悪意あるコードが埋め込まれるケースがあるんだ

[ming_mina]

闇堕ち案件…？

[dot]

自分のプロダクトを消すところまでは他でも何回か見たことあるし同情の余地もあるけど、悪意のあるコード埋め込んでリリースするまでいくのはちょっとついて行けない。

[spark7]

Aaron Swartzとどう繋がるのかがわからんかった。自由にも先立つものが必要ってのはわかるが。