npm に投稿された悪意あるライブラリの検出って重要ですね malware detection in public reposity is quite important

Node.js 向けパッケージ管理サービスの npm から あるパッケージをインストールしようとしたら次のようなメッセージが出ました。

When I tried to install some package from npm, which is a public repository of Node.js packages, I got the following warning:

> babel-node@6.5.3 postinstall /usr/local/lib/node_modules/babel-node
> node message.js; sleep 10; exit 1;

┌─────────────────────────────────────────────────────────────────────────────┐
|                         Hello there ********** ��                           │
|          You tried to install babel-node. This is not babel-node ��          │
|               You should npm install -g babel-cli instead �� .               │
|    I took this module to prevent somebody from pushing malicious code. ��    │
|                    Be careful out there, **********! ��                     │
└─────────────────────────────────────────────────────────────────────────────┘

紛らわしい名前で悪意あるコードをインストールさせようというのは、どこにでもありますね。

Although it’s a popular scam to install malicious softwares with misleading names, npm looks good to detect such malware.