colors.jsを使ってないか確認した

colors.js を使ってないか確認した

colors などの npm パッケージに悪意あるコードが含まれている問題について

1/7で触れた faker.js の開発者である MaraK 氏の別のライブラリである colors.js に意図的に悪意のあるコードが仕込まれた件。

OSS の今後について色々考える必要がありそうだが、とにかく自分が使ってるコードに colors.js がないかを確認した。

ソースがどの記事だったか(もしかしたらツイートかもしれない)忘れたけど、悪意のあるコードを含んだリリースを最新版に固定して、自分以外のメンテナー全員からすべての権限を剥奪した、みたいな話を読んだ。怖すぎる。

上述の azu さんの記事で確認方法まで説明されていてとても助かった。yarn why [packageName]コマンドを知らなかったので覚えておきたい。

1.4.0が最新となるようにrevertされたこととセキュリティアドバイザリーが出たことを追記した。
npm側で対応してくれたので、特別な対応しなくても、colors.jsに関してはとりあえず問題なくなった。https://t.co/ziiNTygQwd https://t.co/8N0rVRQP9h
— azu (@azu_re) January 10, 2022

2022-01-11 現在、npm 側が Revert 版を最新版に固定してくれたらしい、かつ GitHub 側が MaraK 氏を ban したとのことで、使う分にはひとまず大丈夫になったらしい。各所対応が素早い。