npm でサプライチェーン攻撃を受けた Shai-Hulud ワームというのが発覚したそうな。
pypi.org にも時々あるから、こういうのは npm に限ったものではない。
こういうのは(もちろん、うまいこと自動化できて発見できればいいけど)
モグラ叩き的に見つけたら削除していくしかないと思う。
npm は他のプログラミング言語のパッケージに比べて、ちょっとしたパッケージでも
使えそうなら他のライブラリを活用しようっていう文化的なものがあるから発見しやすいのかも。
でも、本質的には、Python でも、Rust でも Javaでも発生しうると思う。
最近の流行しているプログラミング言語には、セントラルリポジトリがあって
サードパーティ製のパッケージが簡単に使えるのが良いところなので、
外部パッケージを使っちゃいけないとか、
ソースコードを読んで安全性を確認しないと使っちゃいけない(←無理)とか、
ならないといいなぁと思っている。
(2025-09-29 追記)
npm パッケージの公開プロセスを変更していこうという話が出てた
https://gihyo.jp/article/2025/09/npmjs-more-secure-npm-publising-plan
あと、以前の記事で、Python パッケージにデジタル証明書を付ける話があった
https://gihyo.jp/article/2025/05/monthly-python-2505?summary
デジタル証明書付きを強制するのは、まだ難しそうだけど
(まずは自分が公開しているパッケージに電子証明書をつけないないし)
この記事へのコメント