セキュリティ インシデント flatmap-stream@0.1.1 と npm-run-all での対応 - Qiita

2018/11/27 102 users Qiita npm インシデント セキュリティ 攻撃

人気のある npm パッケージ event-stream (DL数: 2M/週) が悪意ある攻撃に利用されるというセキュリティ インシデントがありました。 私が管理する npm-run-all (DL数: 440K/週) も間接的に event-stream に依存していたため、インシデントの詳細と私の対応について触れておきます。 何をすべき? あなたのプロジェクトが... 続きを読む

2018/11/27に判明したnpmパッケージ乗っ取りについて - Qiita

2018/11/27 14 users Qiita npmパッケージ パッケージ 実行 攻撃コード

概要 event-streamというnpmパッケージに攻撃コードが混入されました。攻撃コードはflatmap-streamというパッケージに含まれており、event-stream パッケージはこの flatmap-stream への依存性を追加される形で間接的に攻撃コードの実行を行う状態になっていました。 攻撃コードが分析された結果、copayというBitcoinウ... 続きを読む

2018/11/27に判明したnpmパッケージ乗っ取りについて - Qiita

2018/11/26 128 users Qiita npmパッケージ パッケージ 実行 攻撃コード

概要 event-streamというnpmパッケージに攻撃コードが混入されました。攻撃コードはflatmap-streamというパッケージに含まれており、event-stream パッケージはこの flatmap-stream への依存性を追加される形で間接的に攻撃コードの実行を行う状態になっていました。 攻撃コードが分析された結果、copayというBitcoinウ... 続きを読む

I don't know what to say. · Issue #116 · dominictarr/event-stream · GitHub

2018/11/24 52 users GitHub dominictarr Issue

@dominictarr Why was @right9ctrl given access to this repo? He added flatmap-stream which is entirely (1 commit to the repo but has 3 versions, the latest one removes the injection, unmaintained, created 3 months ago) an injection targeting ps-tree. After he adds it at almost the exact same time ... 続きを読む