セキュリティ インシデント flatmap-stream@0.1.1 と npm-run-all での対応 - Qiita

2018/11/27 102 users Qiita npm インシデント セキュリティ 攻撃

人気のある npm パッケージ event-stream (DL数: 2M/週) が悪意ある攻撃に利用されるというセキュリティ インシデントがありました。 私が管理する npm-run-all (DL数: 440K/週) も間接的に event-stream に依存していたため、インシデントの詳細と私の対応について触れておきます。 何をすべき? あなたのプロジェクトが... 続きを読む

2018/11/27に判明したnpmパッケージ乗っ取りについて - Qiita

2018/11/26 128 users Qiita npmパッケージ パッケージ 実行 攻撃コード

概要 event-streamというnpmパッケージに攻撃コードが混入されました。攻撃コードはflatmap-streamというパッケージに含まれており、event-stream パッケージはこの flatmap-stream への依存性を追加される形で間接的に攻撃コードの実行を行う状態になっていました。 攻撃コードが分析された結果、copayというBitcoinウ... 続きを読む