有名「npm」パッケージに仮想通貨を盗むコードが混入 ～「Visual Studio Code」拡張機能にも

公式ブログにおけるアナウンス

　「npm」パッケージ「flatmap-stream」に悪意あるコードが混入されていたことが判明したことをうけ、米Microsoftは11月26日（現地時間）、自社製品への影響を明らかにした。

　「npm」のセキュリティアドバイザリによると、「flatmap-stream」には仮想通貨ウォレット「Copay」から“Bitcoin”や“Bitcoin Cash”を盗み出すコードが含まれていたとのこと。攻撃者は人気のあるパッケージ「event-stream」のメンテナンスに関与し、アップデートに乗じて「flatmap-stream」への依存を密かに追加していたが、約2カ月の間、誰にも気づかれていなかった。

　Microsoftによると、「Visual Studio Code」は安定（Stable）版・プレビュー（Insider）版ともに影響はない。また、“Visual Studio Marketplace”で公開されている拡張機能をスキャンしたところ、「flatmap-stream」を含む拡張機能がいくつか発見されたが、すでに非公開となっている。「Visual Studio Code」にインストールされている場合は自動的にアンインストールされるため、ユーザー側で必要な作業はない。