Show Navigation

Public
- Groups

Conversation

Notices

koshian (koshian@mstdn.jp)'s status on Tuesday, 22-May-2018 10:01:52 JST koshian

ひえ、フロントエンド開発してる人には恐怖でしかないなこれ。パッケージの正当性を検出する仕組みないんだっけあれ。debian の apt とかだとハッシュくらいチェックしてた気がするんだが。
---
"悪質なバックドアを含むパッケージがNPMに" https://www.infoq.com/jp/news/2018/05/npm-getcookies-backdoor
In conversation Tuesday, 22-May-2018 10:01:52 JST from mstdn.jp permalink
Attachments
1. 悪質なバックドアを含むパッケージがNPMに
  
  from InfoQ
  
  NPMのセキュリティチームは、実際に悪意のあるバックドアを含んでいた、Cookieパーサになりすましているパッケージを、それに依存する他の3つのパッケージとともに削除した。バックドアによりアタッカーは実行中のサーバに任意のコードをインジェクトして実行することができた。
- uwabami✅ and lurdan repeated this.
- uwabami✅ (uwabami@junkhub.org)'s status on Tuesday, 22-May-2018 12:27:18 JST uwabami✅
  in reply to
  
  @koshian 個々のdebファイルの md5, sha1, sha256 を全てまとめて Release に記載、Release を gpg 署名、ですね < Debian の apt
  
  In conversation Tuesday, 22-May-2018 12:27:18 JST permalink