인터넷 상에는 -, @!-!/-, @(-.-)/env, --hepl 등 진부한 npm 패키지들이 존재하고 있습니다. 이런 패키지들 중 일부는 보안 위협을 위협을 가지고 있을 뿐만 아니라 툴링을 파괴할 수 있는 가능성이 있는데, 이는 npm에서 명명 지침을 시행하기 전에 명명되었기 때문입니다. Sonatype의 고급 소프트웨어 엔지니어인 Lex Vorona는 이러한 패키지들이 명명 규칙을 엄격하게 따르지 않거나 독특한 이름을 가진 패키지를 여러 개 발견하였습니다.

패키지 이름이 "@"로 시작하는 경우, 이 패키지가 npm 레지스트리에서 범위(scope)로 지정되었음을 나타냅니다. 예를 들어, "Example Inc."라는 회사는 npm 패키지인 "foo"와 "bar"를 @example 범위에서 게시할 수 있습니다. "@!-!/-"의 경우 패키지 자체의 이름은 "-"이지만, 이상하게 명명된 범위 "!-!" 하에서 게시되었습니다.

이런 패키지들 모두가 해로운 것은 아니지만, 비정상적인 이름을 가진 패키지를 파싱하는 데 익숙하지 않은 소프트웨어 개발 도구를 혼란스럽게 하거나 파괴할 수 있습니다.

예전에 BleepingComputer가 보도한 바에 따르면, 빈 npm 패키지인 "-"는 700,000회 이상 다운로드되었습니다. 이러한 현상은 개발자들이 명령 줄 지침에 하이픈("-")을 하나 더 입력하는 실수 때문으로 추정되었습니다.

요약

- 인터넷에는 npm 명명 지침을 준수하지 않거나 독특한 이름을 가진 이상한 npm 패키지들이 있으며, 일부는 보안 위협이 되거나 도구를 파괴할 수 있다.
- "@"로 시작하는 패키지 이름은 범위(scope)가 지정된 것을 나타내며, 패키지의 이름과 범위를 설정하는 것은 출판사의 자유이다.
- 비정상적인 이름을 가진 패키지들은 소프트웨어 개발 도구를 혼란스럽게 하거나 파괴할 수 있으며, 이런 패키지가 심하게 다운로드되는 경우, 이는 주로 사용자의 타이핑 실수 때문으로 보인다.

Reference

https://www.bleepingcomputer.com/news/technology/yes-theres-an-npm-package-called-env-and-some-others-like-it/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*