答え: Kaspersky 製品を使っているのが悪い。
というヤツ
TimeMachine にスキャンかけたらなんか見つけていた。
結局こういうことらしい。
リポジトリオーナー兄貴姉貴が「ロシアめちゃゆるせんよなあ……」というお気持ちの表明として postinstall に組み込んだメッセージが、ロシア (Kaspersky) ではまあよくないとしてマルウェアにされた、ということらしい。
問題のファイルはこれ。
頑張って try で書いてるのまあハイ、という風情はある。
賛否両論
上記 issue ではまあだいたいみんな -1 しているので明らかなんだけど、 OSS として公開するならコード内に政治信条を持ち込むな、という雰囲気なのはめっちゃ同意できる。
まあ最悪 readme とか Wiki とかさあ……、くらいが落とし所じゃないか、とは個人的に思うのであった。
postinstall になんで書くのか、というと以下の記事にちょろっと解説あるんだけど、まあ consolelog というかユーザの作業に露出できる任意のタイミングとして割り込めるから、という事ですね。
個人の主義主張思想と成果物は分離して評価しよう
issue のわりと最後の方で発言している兄貴姉貴の以下の発言で「ウム」ってなったんだけど、腹が立つじゃねーの!って直情的になるのはよそうね、というのがある。
If anyone else is being negatively affected by usage of this repo, such as my team and I were, with many many user reports and accusations of our code being malicious, one thing that can be done to resolve it, is to fork this repo, and remove the offending code like seen here, then in whatever repo you are concerned about you can set a resolution in your package.json to install your forked repository instead of what any dependency or child dependency specifies, like done here.
fork して問題のコードを削除すればいい、という話で「OSS ってまあそういうもんだよね」という話だった。
