週20億回以上ダウンロードされている合計18個のJavaScriptパッケージに悪意のあるコードが挿入された事件は、史上最大のサプライチェーンハッキングと報じられています。侵害されたコードは、暗号通貨を盗むために設計されていました。
想像してみてほしい。マーベル・シネマティック・ユニバースの中では、死に執着する狂人サノスが、史上最も過激な環境保護活動家として設定変更され、インフィニティ・ガントレットを組み立てている。これがあれば、宇宙の人口の半分を消滅させることだってできる。彼は手を掲げ、指を鳴らし…代わりに大量の暗号通貨を盗む。インフィニティ・ガントレットは確かに問題ではあるが、最初の指を鳴らす瞬間は、きっと安堵をもたらすだろう。
数十億回もダウンロードされているJavaScriptパッケージの最近の侵害事件は、まさにそんな感じがします。正体不明の攻撃者がこれらのパッケージのメンテナーに侵入し、ソフトウェアを改変して配布できた容易さは、現代のソフトウェア開発の悲惨な状況を浮き彫りにしているでしょうか?確かにその通りです。しかし、私たちは幸運でした。彼らは大混乱を引き起こすことよりも、金儲けを優先したのです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
これは新しい問題ではなく、npmに限った問題でもありません。2021年に、JavaScript、Python、Ruby、Java開発者が自社のソフトウェアで使用しているパッケージのメンテナーがハッカーの標的になっていることを報告しましたが、当時からこの問題は長年認識されていました。悪名高い「left-pad」事件(11行のコード削除が「インターネットを壊した」とされる事件)は2016年に発生しました。これは、多くのソフトウェアがそれに依存していたためです。
Tom's HardwareをGoogleニュースでフォローするか、お気に入りの情報源として追加して、最新のニュース、分析、レビューをフィードで受信しましょう。「フォロー」ボタンを忘れずにクリックしてください!
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
