はじめに
初めまして、4equestです。
私がこのIDを使っているせいでGoogleの検索結果が私に汚染されました。
ごめんなさい(?)
そういう気持ちも込めて、4equestというものが何なのかを残すためにこの記事を書きます。
そういうnpmのパッケージ名
2015年あたりに公開された正規のnpmパッケージである「request」のタイポなパッケージです。
https://npm.io/package/4equest
すでに悪意あるパッケージとして保持されています。
このような、キーボードの似たような位置にある文字を利用したり、よくあるスペルミスを利用して有害なパッケージをインストールさせる攻撃をTypo squattingと呼びます。
https://brutalgoblin.hatenablog.jp/entry/2021/11/27/182601
こちらの記事にもある通り、コマンドラインでインストールして成功すると、間違ったパッケージ名であることになかなか気づけません。
最近は似たようなのにメールの送信先を間違えていた大学があったりしましたね。
恐ろしい攻撃です。
じゃあマルウェアの名前をニックネームにしたって事?
そうであるともいえますし、違うともいえます。
このマルウェアの名前ですが、より深く調べているともう一つの真実が浮かび上がります。
答えを言ってしまうと、これはドイツのハンブルク大学による実験です。
詳細はこちらのレポートを読んでください。
https://incolumitas.com/data/thesis.pdf
62ページにインストールされた打ち間違いのパッケージ名の一覧があります。
また、実際に配布されていたパッケージにも大学のページへのリンクがあります。
https://web.archive.org/web/20160314051912/http://svs-repo.informatik.uni-hamburg.de:80/
(既に削除されているためアーカイブです。)
時期的にもこの実験で利用されたパッケージだと考えるのが妥当でしょう。