Sonatypeによってフラグが立てられたJohnDeere依存関係の混乱の試み from securityboulevard.com

今週、Sonatypeは17個のnpmパッケージを特定し、そのうち少なくとも12個は、依存関係の混乱を介してJohn Deereのプライベートnpm依存関係を直接ターゲットにしています。
数十のnpmパッケージがJohnDeereをターゲットにしています
これらのnpmパッケージの少なくとも12は、JohnDeereのリポジトリに対する依存関係の混乱を試みています。
一部のdeere-パッケージは、JohnDeereのプライベートGitHubリポジトリが存在するように見えるプライベートgithub.deere.comドメインに漠然とトレースされる可能性があります。
これらのパッケージは、JohnDeereの内部依存関係を倫理的にターゲットにするために公開されました。