テクノロジー
colorsなどのnpmパッケージに悪意あるコードが含まれている問題について

気に入った記事をブックマーク

気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
記事を読んだ感想やメモを書き残せます
非公開でブックマークすることもできます

colorsなどのnpmパッケージに悪意あるコードが含まれている問題について

テクノロジーカテゴリーの変更を依頼記事元:

zenn.dev/azu

適切な情報に変更

エントリーの編集

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます

コメントを非表示にできますコメント表示の設定

ブックマークしました

ここにツイート内容が記載されますhttps://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

次回からTwitterへ自動リダイレクト

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

454usersがブックマークコメント

コメントするにはログインが必要ですブックマークを追加

ブックマークを追加

よく使うタグ

colorsなどのnpmパッケージに悪意あるコードが含まれている問題について

454 users

zenn.dev/azu

よく使うタグ

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページへ

記事へのコメント60件

注目コメント
新着コメント

オーナーコメントを固定しています

オーナーefclcolors.jsにDoS攻撃のコードを入れたものがpublishされていた問題について。 npmパッケージの直接的/間接的依存のチェック方法やYarnの`resolutions`、npm 8.3+の`overrides`でのバージョン固定方法について。

2022/01/11リンク

その他

j1nsukeこプロジェクトを進めるために代替を探したりバージョンを固定する時、Marak氏がどんな思いでこのリリースをしたのかつい考えてしまって持っていかれそうになる。

2022/01/10リンク

その他

xlc火事により困窮したOSS作者が復讐のために悪意のあるコードを埋め込んだという闇。npm もYouTubeみたいに利用数に応じた収益化ができるといいのにね。npm-force-resolutions を使えば古いnpmでもバージョンを固定できるはず。

2022/01/10リンク

その他

prograti真意は分かりませんが作者のブログを見るにOSSの恩恵を受けながら何の対価も支払わない企業に対して不満を持ってるような感じを受けたので色々思うところがあったのかもしれませんね。

2022/01/10リンク

その他

hylomこういうのがあるからなるべくディストリビューション公式パッケージでライブラリ入れたいんだよな……

2022/01/10リンク

その他

fai_fxMarak氏はhttps://b.hatena.ne.jp/entry/s/note.com/takahiroyte/n/nd6cceae3af04 OSSのゆく道：Faker.jsの顛末で話題になった人...

2022/01/10リンク

その他

yamadar問題のコミットログがお祭り会場になってるhttps://github.com/Marak/colors.js/commit/074a0f8ed0c31c35d13d28632bd8a049ff136fb6

2022/01/10リンク

その他

kotas善意と信頼から成り立つ共産主義的コミュニティの歪みが可視化されてきた感。利益不均衡による格差が大きくなると秩序は崩壊する。

2022/01/10リンク

その他

ya--madaなるほど、世知辛いですね。https://note.com/takahiroyte/n/nd6cceae3af04

2022/01/10リンク

その他

likibphttps://twitter.com/sadakato/status/1480537297997406217

2022/01/10リンク

その他

Shisama著名npmパッケージcolorsで起きている問題の一時的な対応方法が紹介されている。Yarnのresolutionsやnpmのoverridesを使ってバージョンを固定する

2022/01/10リンク

その他

オーナーコメントを固定しています

2022/01/11リンク

その他

HHR炎上はさておき、yarn, npm v8.3+, npm v8.2-での対応方法はこれで決まりっぽい

2022/08/16リンク

その他

tmatsuugolangのminimal version selection（とmirrorsとgo.sum）は今回のような悪意あるversiom bumpもうまく回避できているのでなるほどと思った。

2022/01/15リンク

その他

ducktoonGitHubに気軽に投げ銭できるシステムがあれば良いな

2022/01/12リンク

その他

latena意外に日本在住のスポンサーが多いhttps://github.com/sponsors/Marak

2022/01/11リンク

その他

mas-higaこれは兵庫県警が黙ってへんやろ

2022/01/11リンク

その他

rryuここ数年活動してなかった作者が突如masterに謎のコミットをしてリリースし、現在アクティブな開発者が対応しているという状況らしい。

2022/01/11リンク

その他

WindyWindriyas faker.jsの作者関係のやつか、アカウントが乗っ取られたかお金に困ってたらしいのでアカウントを悪意あるものに渡した線もあるかも。

2022/01/11リンク

その他

Nean“追記: 2022年1月11日 2:29”

security

2022/01/11リンク

その他

youhey優秀なエンジニアが善良で公平とは限らず、もし善意に満ちて信頼を大事にしてたとしてもセキュリティが万全である保証もないわけで、、、諸行無常

2022/01/11リンク

その他

ko-ya-ma[[npm][yarn]

2022/01/11リンク

その他

lenore連休明け前に対応されて良かった。頭が下がります。

2022/01/11リンク

その他

mumei-0“colors というnpmパッケージにDoS攻撃のコードが含まれたバージョンが1.4.44-liberty-2として公開されました。”

2022/01/11リンク

その他

gabill大量のライブラリに依存するWeb開発の風潮。これもう限界なんじゃないかな。少数のzero dependencyなライブラリにのみ依存する戦略にシフトする流れも出てきそう。

2022/01/11リンク

その他

knokdistroがパッケージ化するときにupstreamと関係が悪くなって、そのdistro狙い撃ちで意図しない(若干悪意のある)挙動を仕込んだ例もあって、なかなかなあ…

2022/01/11リンク

その他

ustamcss-loader や storybook で使ってる？　僕のところはギリギリ該当バージョンじゃなかった。

2022/01/11リンク

その他

hideaアカウント乗っ取りかと思いきや本人のヤケの可能性もあるのか。こうなると今の仕組みじゃ防ぎようもないな。

2022/01/11リンク

その他

ghostbassにゃ、cypressも影響受けるのか

2022/01/11リンク

その他

estragonNode.jsのパッケージマネージャnpmやyarnで使われてるcolorsというパッケージに悪意のコードが埋め込まれたとのこと。npmやyarn以外に最大五万個のパッケージに取り込まれてるかもとか

2022/01/11リンク

その他

oqzl影響範囲がでかい

2022/01/11リンク

その他

FalkyOSSに限らず、有名な製品・会社であっても闇落ちする事例というのはままあることなので、OSSの問題とかって論じるようなことではないかな。朝になったら対応しないとなこれ……寝よ。

2022/01/11リンク

その他

sisya買い取られて悪意のあるコードになってしまう場合もあれば、作者自らこうしてしまう場合もある。オープンソースというシステムの限界を感じる。

2022/01/11リンク

その他

hisasann“また、npmでは2016年の通称leftpadという問題をきっかけに、publishしてから24時間以上経過したパッケージのunpublishは基本的にできません。”

2022/01/11リンク

その他

likibphttps://twitter.com/sadakato/status/1480537297997406217

2022/01/10リンク

その他

ys0000アカウントを乗っ取られたか、精神を乗っ取られてダークサイドに落ちたのか、いずれにしても現状では該当パッケージに難があるという事は間違いない。当たり前だがOSS文化も万能ではないなぁ。

2022/01/10リンク

その他

H_He_Li_Beアカウントを乗っ取られたんだと勝手に思い込んで読んでたけど、ブコメによると正式な開発者が意図的にやったのか。

2022/01/10リンク

その他

skypenguins闇堕ちかあ…

2022/01/10リンク

その他

a96neko OSSで悪意あるコードが埋め込まれるケースがあるんだ

2022/01/10リンク

その他

ming_mina闇堕ち案件…？

2022/01/10リンク

その他

dot自分のプロダクトを消すところまでは他でも何回か見たことあるし同情の余地もあるけど、悪意のあるコード埋め込んでリリースするまでいくのはちょっとついて行けない。

2022/01/10リンク

その他

spark7Aaron Swartzとどう繋がるのかがわからんかった。自由にも先立つものが必要ってのはわかるが。

2022/01/10リンク

その他

コメントするにはログインが必要ですログインしてコメント

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー

はてなブックマークボタンを作成して埋め込むこともできます

規約違反を報告

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

usersに達しました！

さんが1番目にブックマークした記事「colorsなどのnpmパ...」が注目されています。

気持ちをシェアしよう

ツイートする

colorsなどのnpmパッケージに悪意あるコードが含まれている問題について

追記:2022年1月11日 2:29 JSTにDoS脆弱性としてセキュリティアドバイザーが出されて、悪意あるバージョ...追記:2022年1月11日 2:29 JSTにDoS脆弱性としてセキュリティアドバイザーが出されて、悪意あるバージョン(1.4.1や1.4.2)はnpmからunpublishされ、npmの最新は安全なバージョンである1.4.0へと変更されました。 Infinite loop causing Denial of Service in colors · GHSA-5rqg-jm4f-cqx7 ·GitHub AdvisoryDatabase 2022-01-08 に colors というnpmパッケージにDoS攻撃のコードが含まれたバージョンが1.4.44-liberty-2として公開されました。GitHub: https://github.com/Marak/colors.js npm: https://www.npmjs.com/package/colors 問題についてのIssu