L is Bエンジニアブログ

ビジネス用メッセンジャーdirectのエンジニアによるブログ

LisBエンジニアブログ

ビジネスチャットdirectのエンジニアブログ

npm の event-stream パッケージに発生した問題についてご報告

こんにちは、 daab 担当の武内です。

ボットの開発はNode.jsをご利用かと思われますが、近頃はNPMでたびたびマルウェアが発見されております。

昨日は event-stream というパッケージで、何者かに乗っ取られて攻撃コードが混入されるという事案が発生しました。

くわしくは以下の URL をご参照ください。

github.com

qiita.com

弊社の daab-starter で内部的に event-stream を利用しているため、影響の有無を調査いたしましたところ、 問題のないバージョンを利用しておりましたのでご報告いたします。

また、その他の外部パッケージを利用している場合、該当するパッケージと該当バージョンが依存関係に含まれていないか確認してみてください。 (依存関係に今回の原因のパッケージが含まれているかを確認する為のコマンド)

npm ls event-stream flatmap-stream