パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入」記事へのコメント

  • by Anonymous Coward on 2018年11月30日 0時57分 (#3524155)

    実際はひっそりと乗っ取られてるリポジトリが他にもあるんじゃなかろうか

    • by Anonymous Coward

      今回はflatmap-stream@0.1.1の悪意あるコードで使われているAPIがnode.js 11でdeprecated警告出るようになったから発覚したようなものなので
      当然見つかってないのはあるでしょうね

      今回みたいに直接悪意あるコードを追加するのではなく
      新規のまともそうに見える依存ライブラリを追加し、
      さらにそのminify版にだけ悪意あるコードを注入していたら
      探すのは困難でしょうし

    • by Anonymous Coward

      バグと言い訳できるレベルの巧妙なセキュリティーホールでバッグドアを仕掛けられたら、
      もはやどうにもならない。

      • by Anonymous Coward

        とりよせバッグみたいな

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

処理中...