'-'という謎の npm パッケージの記事

コロナウィルスのワクチン接種後の副反応でほとんど一日寝込んでいて何かしら記事を読むことしかできなかった。

‘-‘ という名前の、中身が無いのに 70 万回ダウンロードされてる謎の npm パッケージ – 秋元@サイボウズラボ・プログラマー・ブログ

こういう「タイポとかを狙って悪いこと(今回の場合は悪いことは特にないが)をする」みたいなことを「タイポスクワッティング」というらしい。

タイポスクワッティング - Wikipedia

作者の GitHub アカウントを見たが、この'-'の他にも普通に使うライブラリなどを開発してリポジトリに置いており、悪意のあるものだけを作ったりしたとは考えにくい。

けど、実際めちゃくちゃやりそう、というか現にそうやってタイポして入れられてるダウンロードが記事によると数十万を超えてる(もちろんすべてがひとつの原因ではないと思うが)というのもあって、かなり怪しい気持ちになっちゃう。

これ、Twitter で初期に桁数の少ない ID を取るみたいな namespace 陣取り合戦的なことをしたくて取っといたとかの可能性もなくはないかなと個人的には思ったけど、にしては公開されたのが 1 年前とかなので違うかもしれない。というかつい最近までこの名前取られてなかったのか。

インターネットに毒されているので、一文字 ID とかは一瞬で取られるイメージがあったけど、それは SNS アカウントの話であってこういったパッケージ公開サービスでそういうことをしても名前が分かりにくいだけで無意味だよね。

バージョンアップで突然悪意のあるコードが仕込まれる可能性もなくはないし、npm 側にはこういうパッケージに関してはちょっと厳しめでもいいから対処してほしい気持ちがある。