2020年初めに公開された「-」という名前のJavaScript/TypeScriptパッケージが、これまでに約72万回もダウンロードされているそうだ。パッケージは三つのファイルから構成されているものの、ほとんど中身のないものとのこと。中身のないこの 「-」を使用している他のnpmパッケージは50個以上存在しているという。しかし、それらを見ても「-」が必要なものではないという。元記事では「-」が約72万回のダウンロードを記録した理由として、npmコマンドを入力するときの誤入力にあるのではないかとしている（BLEEPING COMPUTER、秋元@サイボウズラボ・プログラマー・ブログ）。

例えば、「somepackage」というnpmパッケージをインストールする場合、「npm i somepackage」というコマンドを実行する必要があるが、このときのフラグ指定時に本来「npm i -someFlag somepackage」と打つべきところを「npm i - someFlag somepackage」とスペースを入れて実行してしまったことにより、「-」がインストールされてしまい、その状態でパッケージを作って公開してしまったものが50個以上存在するのではないかとしている。なお、過去記事でも類似する事例が報告されている。

すべて読む | ITセクション | ソフトウェア | IT |

関連ストーリー：
PyPI で公開されているパッケージの半数近くが何らかのセキュリティ上の問題を含むとの調査結果 2021年08月01日
名前のタイプミスを狙った悪質なパッケージがRubyGemsで多数公開される 2020年04月19日
RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される 2019年08月25日
「.com」のミスタイプを狙う「.cm」サイト、今年だけで1,200万回近くアクセスされていた 2018年04月08日
PyPIに悪意のあるパッケージがアップロードされていた 2017年09月18日