並べ替え:新着順
Node.jsでは、node_modulesフォルダが 仮想環境(のうち、ライブラリ部分)、package.json, package-lock.jsonがパッケージ定義ファイルですね。
Nodejsは、JavaScriptの眷属ですわね... 手元のコードからimportできるものは基本的にはnode_modulesフォルダに入ってるのですね package.json, package-lock.jsonとかいうファイルがライブラリ目録
AIでそれっぽい弱点レポート作る人増えたけど、 gitignoreの意味も知らなそうなのが一番怖い。 こういう人、node_modulesも普通にコミットして “なんか容量でかいな…”とか言ってそう x.com/commte/status/…
Claude Code に、わざと障害を起こしてテストする カオスエンジニア入れてみたら ドン引きするくらい問題見つかった(試して欲しい) .md ファイルを .claude/agents/ に置くだけ プロンプトで「chaos-engineer 使ってこのリポジトリの弱点を分析して」って言うと
NEXT.js も最近のバージョンでは、AGENTS.mdにNEXTのローカルドキュメント(node_modulesに展開される)を参照するようになっていますね。 pic.x.com/w3raZfax2z
tauri2アプリの最初のコミットをgithubにpushしたところ、こんなメッセージが。% git ls-filesしても50ファイル程度、1000ファイル超えてなく、node_modulesあたりも対象外にしているので思い当たる節がない。。省略されたエントリがたった1個というのも怪しい( ³ᾥ³ ;) pic.x.com/eW9hkkc7sb
これ node_modulesを一時的にgitに入れて中身書き換えまくってデバッグするの便利 こうするとどこいじったか把握し続けられる gitに入れてからoxfmtかけただけのコミット作ってそっからデバッグコードを載せていく x.com/__cp20__/statu…
JavaScript ってやっぱ面白い言語で、ライブラリにバグがあった時に node_modules の中を勝手に書き換えてデバッグができる こういう意味でスクリプト言語は開発速度が速くていいねとなる
返信先:@lmt_swallowgithub.com/azu/irodr で試していたのですが、 ``` pnpm store prune && rm -rf node_modules && sfw pnpm i --loglevel=debug --reporter=ndjson ``` で途中で Socket Firewall encountered an unexpected error: Error: connect ETIMEDOUT 34.102.162.58:443となることがある感じでした。
返信先:@rin_pineapplev7からoutput強制指定でデフォルトじゃなくなって型補完的な面からnode_modules以外にoutputする人もいるらしい prisma.io/docs/guides/up…
今は変わってしまったかもしれないがprisma clientはnode_modules/.prisma/clientに生成結果をぶち込むことで@ prisma/client をdbに沿ったスクリプトに上書きするという荒業を使っていたりした x.com/__cp20__/statu…
JavaScript ってやっぱ面白い言語で、ライブラリにバグがあった時に node_modules の中を勝手に書き換えてデバッグができる こういう意味でスクリプト言語は開発速度が速くていいねとなる
node_modulesに悪意あるコードが含まれていないかを監査してみようとした瞬間、あなたのプロジェクトも100万行コードベースになります x.com/muo_jp/status/…
JavaScript ってやっぱ面白い言語で、ライブラリにバグがあった時に node_modules の中を勝手に書き換えてデバッグができる こういう意味でスクリプト言語は開発速度が速くていいねとなる
Snykでaspidosスキャン → 0 issues 普段はドーベルマンみたいにガンガン吠るのに、 aspidosにビビってチワワ化してたわ(笑) 脆弱性0のpackage.json逆に怖い 君らのnode_modulesはどんな惨状? npmjs.com/package/aspidos zenn.dev/panchan1/artic… #aspidos #npm #Snyk #脆弱性ゼロ #node_modules pic.x.com/1qFiuaco7W
>plain-crypto-js はインストール後に自身の痕跡を消去するため、node_modulesの事後検査では検知できません。実際の通信ログ、端末内の痕跡チェック、あるいはaxios に限らない npm install の実行時刻との照合が必要です。 blog.flatt.tech/entry/axios_co…
不足があったので最新版作成しました。 ーーここからーー ① claude doctor でインストール方法が curl版かnpm版か確認 ② claude --version で2.1.89以上か確認 ③ npm版の場合: npm list -g axios で1.14.1/0.30.4でないか確認 ④ npm版の場合: ls node_modules/plain-crypto-js で
Claude Code使ってる人、これ貼れば感染確認できる↓ ーーここからーー 以下を確認して。 ① Claude Codeのインストール方法はcurl(ネイティブ版)かnpm版か ② npm版の場合、node_modules/にplain-crypto-jsフォルダが存在するか ③ npm版の場合、lockfileにaxios@1.14.1 x.com/kanikabk/statu…
🚨ANTHROPIC JUST ACCIDENTALLY LEAKED 500,000 LINES OF CLAUDE CODE SOURCE CODE TO THE ENTIRE INTERNET. Human error. One misconfigured file. Everything exposed. Here is what happened and why this is one of the most damaging accidental leaks in AI history. A routine Claude Code x.com/10481925618635…
Claude Code使ってる人、これ貼れば感染確認できる↓ ーーここからーー 以下を確認して。 ① Claude Codeのインストール方法はcurl(ネイティブ版)かnpm版か ② npm版の場合、node_modules/にplain-crypto-jsフォルダが存在するか ③ npm版の場合、lockfileにaxios@1.14.1 x.com/daifukujinji/s…
【注意】axiosのnpmパッケージが侵害:3/30に npm install を実行した方は要確認 悪意あるバージョン: 1.14.1 / 0.30.4 確認方法: npm list axios 該当していた場合は、月並みだけど以下の対応を推奨 ・axios@1.14.0に固定して再インストール ・node_modules と lockfile を削除して再構築 x.com/yousukezan/sta…
Axiosのnpmパッケージがサプライチェーン攻撃によって侵害された。2026年3月30日、公式のAxiosに対し改ざんされたバージョン(1.14.1および0.30.4)がnpmレジストリに公開され、悪意ある依存関係「plain-crypto-js」が組み込まれた。
【感染チェック手順】 ① lockfileでaxios@1.14.1またはaxios@0.30.4を検索 ② node_modules/にplain-crypto-jsフォルダがあれば感染確定 ③ 痕跡ファイル確認 macOS: /Library/Caches/com.apple.act.mond Windows: %PROGRAMDATA%\wt.exe Linux: /tmp/ld.py 該当したら全認証情報を即変更🔑
Slack連携もFigma APIも使ってるから、リスト見て結構ゾッとした。推移的依存って普段気にしてなかったけど、自分のnode_modulesにもaxios絶対いるわ x.com/gunta85/status…
「axios?使ってないから関係ないわ〜」 と思ったそこのあなた。 残念ながら、たぶん使ってる。 自分の package.json に axios って書いてなくても、 あなたの node_modules の奥底に、axiosは静かに住んでいる。 これが「推移的依存」という名の見えない地雷。 𝗦𝗹𝗮𝗰𝗸 𝗕𝗼𝘁 作ってる?→
package.jsonにaxiosが無いからセーフかと思ったら、依存関係でインストールされている可能性があるのか うちはnode_modulesの中も確認して無かったので大丈夫だろう 開発初期段階ではaxiosを利用していたので危なかった…
ちなみに影響があるのは axios@1.14.1 と axios@0.30.4。 使ってる人は 1.14.0 か 0.30.3 にダウングレードして、 node_modules/plain-crypto-js/ があったらアウト。 うちは固定バージョンだったので影響なし。 CTOエージェントがそこまで確認して報告してくれた。
actrun 最新版動く人いる? /lib/node_modules@mizchi/actrun/dist/actrun.js:98954 return `${${_M0FP36mizchi6actrun4lint14to__shell__var(expr)}}`; ^ SyntaxError: Missing } in template expression
pnpmだから安全という理解は半分正しくて半分ズレてる。 - node_modulesをフラットに展開しない - グローバルストアにキャッシュしてシンボリックリンクで使う - 依存関係が厳密(勝手に依存を参照できない) →依存関係の衝突は減る -
ReactNativeの依存関係問題、正直かなり辛い。パターン化されないしAIも苦手。 やってること: ① エラー全文をAIに投げる ② node_modules削除 → クリーンインストール ③ ライブラリのissueを地道に読む 同じ悩みの人いたら、どう切り抜けてるか知りたいです。
-npmのキャッシュやnode_modules、package-lock.jsonをクリア。 これ今は当該リリース削除されてるけど タイミングによったらこれをしたことで感染→固定→放置っていうのがありうるので (特によく解ってはないけどXで騒いでるから取り敢えずすぐ上げた系の思考の人) 中身ちゃんとgrepで確認しよう x.com/riku720720/sta…
全員全部のプロジェクトでClaudeCodeに下記コピペして。 **npm axiosの乗っ取り(2026年3月31日発生)の原理**は、**npm maintainerアカウントの乗っ取りによるサプライチェーン攻撃**です。 ### 攻撃の流れ(ステップバイステップ) 1. **メンテナーアカウントの乗っ取り**
今日もdotnet scriptでツール加工させてたら、謎にnodejsで処理書き始める暴挙に出たから慌てて止めたが、あのままだとnode-modulesフォルダつくられるやん?アホだよな、copilot君…
【plain-crypto-js の痕跡確認】 Windows PowerShellTest-Path "node_modules\plain-crypto-js" macOS / Linux Bashls node_modules/plain-crypto-js 2>/dev/null && echo "危険なパッケージの痕跡あり" 見つかったら即対応を。
Axiosの件、色んな情報が流れてるから、Claudeにまとめてもらって把握した。 なるほど「マルウェアは実行後に自己削除して package.json をクリーンなものに置き換える」ので、「インストール後にnode_modulesを確認した開発者には痕跡が残らない」のか pic.x.com/5r05KYww9L
チームでWeb制作やっている人、 これやってたら有罪です。 ❌ mainブランチに直接push → 大事故の元。 ⭕️ feature/xxx 切ってPR出すのが基本。 規模の大きい案件の場合は developブランチを間に挟むことも多い。 ❌ node_modules をcommit → 重すぎてGitが泣きます。 ⭕️ .gitignore
> AWS CDK が axios に依存 Dev Dependencies だから普通にデプロイするだけなら大丈夫そう。既存の node_modules 以下にも axios はなかった。 でも、念のためデプロイは控えておこう。
axiosのサプライチェーン攻撃。Growi(利用バージョンv7.4.7)は影響ないようです。 npm ls axios で1.14.1/0.30.4 でないことを確認。 find node_modules -name "plain-crypto-js" の実態が無いことを確認。 とはいえ、当面は不要なnpmのアップデートは控えた方がいいですね……
アニメ・ゲーム
エンタメ
ITビジネス
アニメ・ゲーム
スポーツ
SNSのバズまとめ一覧
