自動ニュース作成G
トロイの木馬化された「jQuery」がnpmやGitHubで拡散
https://rocket-boys.co.jp/trojanized-jquery-spreading-on-npm-and-github/
2024-07-10 03:28:22
>Phylumは 2024 年 5 月 26 日以来、トロイの木馬化された jQuery のバージョンを悪用する執拗なサプライ チェーン攻撃者を監視しており、最初に npm でこのjQuery を悪用する亜種を発見しました。そこでは、1 か月にわたって数十のパッケージで侵害されたバージョンが公開されていました。調査の結果、GitHubや、jsDelivr の CDN ホスト リソースでも、トロイの木馬化された jQuery のインスタンスを発見しました。
あんまり良くないと言われて久しい今でもjqueryに頼ってゲーム自動化ツールを作ってる俺としては気になる
参考『jQuery、今までありがとう【移行すべき理由と代替案3選】』
◇
・これはプログラムの作成者が吟味せずに不適切な所からダウンロードしてくるように指定していなければ「真っ当な」ものが使われると言う事なん?よく知らないんだが「正規版」みたいなものもあるん?
・jQuery本体なら、GoogleのCDN使えばいいんでは。よくわからん所のやつ使う意味がない
・正規版でやられた事例https://gnews.jp/20240629_180842