npmリポジトリで公開のパッケージに仮想通貨を盗むマルウェアが混入

あるAnonymous Coward曰く、　JavaScript/Node.js向けパッケージリポジトリのnpmで公開されていた「event-strem」というJavaScriptパッケージにマルウェアが仕込まれる事件が発生した（Qiitaに投稿された解説記事、event-stremパッケージに対するチケット、Register、ZDNet）。

　このパッケージでは最近メンテナの交代があったのだが、新メンテナが意図的に暗号通貨を盗むマルウェアをパッケージに仕込んでリリースを行っていたという。

　問題のevent-streamパッケージはビットコインウォレットの「Copay」で利用されており、これを狙ってビットコインウォレットの情報を盗む攻撃を行うマルウェアが含まれていたようだ。

　スラドのコメントを読む | オープンソースセクション | オープンソース | セキュリティ

　関連ストーリー：
Google Playで発見されるマルウェア、インストール件数は水増しされている？ 2018年11月25日
AVAST社、仮想通貨マイニング関連ソフトウェアをマルウェアと判定する基準を発表 2018年11月08日
米政府職員が仕事PCでアダルトサイトを見た結果、政府ネットワークがマルウェアに感染 2018年11月02日
Node.js向けリポジトリnpm、とあるモジュールの作者からその所有権を勝手に剥奪して騒動に 2016年03月25日