2022 年のベスト: npm ライブラリの「colors」と「faker」は、メンテナーによる抗議で妨害されました—今何をすべきか? from securityboulevard.com

混乱を避けるために、GitHub プロジェクトの colors.js は、npm リポジトリでは単に「colors」として知られており、その生涯を通じて 33 億回以上のダウンロードを記録し、それに依存する 19000 以上のプロジェクトがあります。
同様に、faker.js は npm に「faker」として存在し、npm リポジトリから 2 億 7200 万回取得され、2500 を超える依存関係があります。
両方のプロジェクトのハイジャックされたバージョンは、Sonatype のデータの識別子 sonatype-2022-0215 および sonatype-2022-0216 で「悪意のある」ものとして記録されていることに注意してください。
昨日、多くのオープン ソース開発者は、人気のある依存関係である「colors」と「faker」が侵害されたのではないかと疑った後、不安を感じました。