もっと詳しく

2020年初めに公開された「-」という名前のJavaScript/TypeScriptパッケージが、これまでに約72万回もダウンロードされているそうだ。パッケージは三つのファイルから構成されているものの、ほとんど中身のないものとのこと。中身のないこの 「-」を使用している他のnpmパッケージは50個以上存在しているという。しかし、それらを見ても「-」が必要なものではないという。元記事では「-」が約72万回のダウンロードを記録した理由として、npmコマンドを入力するときの誤入力にあるのではないかとしている(BLEEPING COMPUTER秋元@サイボウズラボ・プログラマー・ブログ)。

例えば、「somepackage」というnpmパッケージをインストールする場合、「npm i somepackage」というコマンドを実行する必要があるが、このときのフラグ指定時に本来「npm i -someFlag somepackage」と打つべきところを「npm i – someFlag somepackage」とスペースを入れて実行してしまったことにより、「-」がインストールされてしまい、その状態でパッケージを作って公開してしまったものが50個以上存在するのではないかとしている。なお、過去記事でも類似する事例が報告されている。

すべて読む

| ITセクション

| ソフトウェア

| IT
|
この記事をTwitterでつぶやく
この記事をFacebookで共有
この記事をGoogle Plusで共有
このエントリーをはてなブックマークに追加

関連ストーリー:

PyPI で公開されているパッケージの半数近くが何らかのセキュリティ上の問題を含むとの調査結果
2021年08月01日

名前のタイプミスを狙った悪質なパッケージがRubyGemsで多数公開される
2020年04月19日

RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される
2019年08月25日

「.com」のミスタイプを狙う「.cm」サイト、今年だけで1,200万回近くアクセスされていた
2018年04月08日

PyPIに悪意のあるパッケージがアップロードされていた
2017年09月18日