Node.jsに含まれた攻撃コードの対処についてメモ(VScode)

JavascriptのNode.jsに攻撃コードが含まれてしまった件がニュースになってます。

ビットコイン狙う不正コードがNode.jsライブラリに BitPayのウォレットアプリに影響(ITmedia エンタープライズ) - Yahoo!ニュース
ビットコインウォレットアプリを提供する米BitPayは11月26日、同社のアプリに使われて - Yahoo!ニュース(ITmedia エンタープライズ)

不正なコードが含まれてしまったのは「Event-Stream」というパッケージの模様。これって、比較的よく使われている開発用エディタのVisualStudioCodeの拡張機能なんかで使われているんですね。。。

というわけで対処するにはどうすれば良いのかと調べたところ、VisualStudioCodeのWebサイトに記載がありました。

We decided to take aggressive actions to protect our users as well as the authors of those extensions and to automatically uninstall those extensions. Users don’t need to take any action to remove those extensions. The extensions will also be unlisted from the Marketplace.

んー、要はVisualStudioCode自体には影響無くって、影響がある拡張機能については強制的にアンインストールされるっぽい?

拡張機能を勝手にアンインストールするってのも、なかなかどうなのという感じもしますが、攻撃コードの影響を受けるよりは、、、、ということでしょうか。とりあえず結果としては特に何もしなくても大丈夫そうです。

Event-Stream Package Security Update
Event-Stream Package Security Update

あ、開発でNode.jsをいじってる人なんかは問題のEvent-Streamを使っていないかどうか念のため確認が必要かと。。。

 

コメント