{
"$type": "site.standard.document",
"bskyPostRef": {
"cid": "bafyreihurvum7pokojl22f4vgmrxo3xqcqvzm5l4wdlqyy7rozf2rww4fe",
"uri": "at://did:plc:eiec7xv3yvni72ic6fquz3ik/app.bsky.feed.post/3miskrwx6weo2"
},
"path": "/2026/04/06/typescript-6.0-es2026-rc-axios/",
"publishedAt": "2026-04-06T01:32:51.000Z",
"site": "https://jser.info",
"tags": [
"TypeScript",
"nodejs",
"security",
"Tools",
"React",
"JSer",
"Announcing TypeScript 6.0 - TypeScript",
"Release ES2026 Candidate March 31st 2026 · tc39/ecma262",
"axios Compromised on npm - Malicious Versions Drop Remote Access Trojan - StepSecurity",
"Attackers Are Hunting High-Impact Node.js Maintainers in a C...",
"The Hidden Blast Radius of the Axios Compromise - Socket",
"Am I affected? - StepSecurity",
"@azuのスポンサー",
"@jser_info",
"JSer.info Sponsors",
"GitHub Sponsors",
"devblogs.microsoft.com/typescript/announcing-typescript-6-0/",
"webkit.org/blog/17862/webkit-features-for-safari-26-4/",
"github.com/raineorshine/npm-check-updates/releases/tag/v20.0.0",
"github.com/tc39/ecma262/releases/tag/es2026-candidate-2026-03-31",
"github.com/sindresorhus/got/releases/tag/v15.0.0",
"github.com/lodash/lodash/releases/tag/4.18.0",
"nodejs.org/en/blog/release/v25.9.0",
"github.com/lerna-lite/lerna-lite/releases/tag/v5.0.0",
"storybook.js.org/blog/storybook-mcp-for-react/",
"nodejs.org/en/blog/announcements/discontinuing-security-bug-bounties",
"willybrauner.com/journal/signal-the-push-pull-based-algorithm",
"blog.jetbrains.com/idea/2026/03/js-ts-free-support/",
"www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan",
"blog.cloudflare.com/emdash-wordpress/",
"github.com/vercel-labs/emulate",
"arrow-js.com/",
"gihyo.jp/book/2026/978-4-297-15523-0",
"@container"
],
"textContent": "JSer.info #768 - TypeScript 6.0がリリースされました。\n\n * Announcing TypeScript 6.0 - TypeScript\n\n\n\n現在のJavaScriptコードベースによる最後のリリースで、Goで書き直されたTypeScript 7.0への移行を準備するリリースとなっています。`strict`がデフォルトで`true`に、`target`のデフォルトが`es2025`に、`module`のデフォルトが`esnext`に変更されています。`target: es5`や`--moduleResolution node`(node10)、`--outFile`などが非推奨となりエラーに変更されました。新しい機能として、`es2025`ターゲットの追加、Temporal APIの型定義、Map/WeakMapの`getOrInsert()`/`getOrInsertComputed()`メソッドの追加、TypeScript 7.0の型順序に合わせる`--stableTypeOrdering`フラグの追加などが含まれています。\n\n* * *\n\nECMAScript 2026のRelease Candidateが公開されました。\n\n * Release ES2026 Candidate March 31st 2026 · tc39/ecma262\n\n\n\nTC39によって2026年3月に承認され、2026年6月のEcma General Assemblyでの承認を経て正式リリースとなる予定です。ES2026には、`Array.fromAsync`、JSON.parse source text access、Iterator Sequencing、`Uint8Array`のBase64変換、`Math.sumPrecise`、`Error.isError`、Upsert(`Map.prototype.getOrInsert`)などが含まれる予定です。\n\n* * *\n\naxiosのnpmパッケージに対するサプライチェーン攻撃が発生しました。\n\n * axios Compromised on npm - Malicious Versions Drop Remote Access Trojan - StepSecurity\n * Attackers Are Hunting High-Impact Node.js Maintainers in a C...\n * The Hidden Blast Radius of the Axios Compromise - Socket\n\n\n\nソーシャルエンジニアリングによりメンテナーアカウントが乗っ取られ、悪意のある`axios@1.14.1`と`axios@0.30.4`が公開されました。これらのバージョンには`plain-crypto-js`というマルウェアが依存関係として追加されており、postinstallフックを通じてmacOS/Windows/Linux向けのRemote Access Trojan(RAT)をインストールする仕組みになっていました。\n\n影響を受けたかどうかの確認方法は次のページにまとめられています。\n\n * Am I affected? - StepSecurity\n\n\n\n* * *\n\n### JSer.infoをサポートするには\n\n * 😘 知り合いにJSer.infoをおすすめする\n * ❤️ GitHub Sponsorsで@azuのスポンサーになる\n * 🐦 X(Twitter)で@jser_infoをフォローする\n\n\n\n### JSer.info Sponsors\n\n**JSer.info Sponsors** はGitHub SponsorsとしてJSer.infoを支援してくれている方々です。\n\n* * *\n\n# ヘッドライン\n\n* * *\n\n## Announcing TypeScript 6.0 - TypeScript\n\ndevblogs.microsoft.com/typescript/announcing-typescript-6-0/\n\n\nTypeScript ReleaseNote\n\nTypeScript 6.0リリース。\n現在のJavaScriptコードベースによる最後のリリースで、Goで書き直されたTypeScript 7.0への移行を準備するリリースとなる。\n`strict`がデフォルトで`true`に、`target`のデフォルトが`es2025`に、`module`のデフォルトが`esnext`に変更。\n`target: es5`、`--moduleResolution node`(node10)、`--outFile`、`--esModuleInterop false`などが非推奨となりエラーに変更。\n`es2025`ターゲットの追加、Temporal APIの型定義の追加、Map/WeakMapの`getOrInsert()`/`getOrInsertComputed()`メソッドの追加。\nNode.jsのSubpath Importsの`#/`のサポート、`--moduleResolution bundler`と`--module commonjs`の組み合わせをサポート。\nTypeScript 7.0の型順序に合わせる`--stableTypeOrdering`フラグの追加など\n\n* * *\n\n## WebKit Features for Safari 26.4 | WebKit\n\nwebkit.org/blog/17862/webkit-features-for-safari-26-4/\n\n\nsafari browser CSS WebTransport WebAuthentication ReleaseNote\n\nSafari 26.4リリース。\nCSS Grid Lanesによるmasonry/ウォーターフォールスタイルのレイアウトのサポート、名前のみの`@container`クエリのサポート。\n`font-size: math`と`math-depth`プロパティのサポート。\nCSS Zoomの修正、Scroll-driven Animationsのパフォーマンス改善。\nWebTransportのサポート、Keyboard Lock APIのサポート、ReadableByteStreamのサポート。\nScoped Custom Element Registriesの改善、`Iterator.concat()`のサポート。\n`<img>`の`sizes`属性でのmath関数(`min()`/`max()`/`clamp()`)のサポート、SVGの`lighter`合成演算子のサポート。\nWebAuthnのPRF拡張のサポートなど。\n\n* * *\n\n## Release v20.0.0 · raineorshine/npm-check-updates\n\ngithub.com/raineorshine/npm-check-updates/releases/tag/v20.0.0\n\n\nnpm Tools ReleaseNote\n\nnpm-check-updates v20.0.0リリース。\nnpm/yarn/pnpmの設定にあるminimum release ageの設定を自動的に読み取り、cooldownオプションとして適用するようになった。\n\n* * *\n\n## Release ES2026 Candidate March 31st 2026 · tc39/ecma262\n\ngithub.com/tc39/ecma262/releases/tag/es2026-candidate-2026-03-31\n\n\nECMAScript spec ReleaseNote\n\nECMAScript 2026のRelease Candidateが公開された。\nTC39によって2026年3月に承認され、2026年6月のEcma GAでの承認を経て正式リリースとなる予定。\n\n* * *\n\n## Release v15.0.0 · sindresorhus/got\n\ngithub.com/sindresorhus/got/releases/tag/v15.0.0\n\n\nnodejs HTTP library ReleaseNote\n\nGot v15.0.0リリース。\nNode.js 22未満のサポートを削除、\n`promise.cancel()`を削除しAbortControllerの`signal`オプションに移行、`isStream`オプションの削除。\n`responseType: 'buffer'`が`Buffer`の代わりに`Uint8Array`を返すように変更。\nネイティブのFormData APIを利用するように変更、`strictContentLength`のデフォルトを`true`に変更。\nRFC 9110に準拠し300/304レスポンスの自動リダイレクトを廃止など\n\n* * *\n\n## Release 4.18.0 · lodash/lodash\n\ngithub.com/lodash/lodash/releases/tag/4.18.0\n\n\nlodash JavaScript library security ReleaseNote\n\nlodash 4.18.0リリース。\n`_.unset`と`_.omit`のPrototype Pollutionの脆弱性を修正、`_.template`のコードインジェクションの修正。\n`lodash.unset`や`lodash.template`などの個別パッケージが古いままだったのを修正して再公開。\n\n* * *\n\n## Node.js — Node.js 25.9.0 (Current)\n\nnodejs.org/en/blog/release/v25.9.0\n\n\nnodejs ReleaseNote\n\nNode.js v25.9.0リリース。\nテストランナーのモックモジュールAPIで`defaultExport`と`namedExports`オプションを`exports`オプションに統合。\n`--max-heap-size`フラグの追加、Web CryptoでTurboSHAKEとKangarooTwelveアルゴリズムのサポート。\nSEA(Single Executable Applications)でESMエントリポイントのコードキャッシュをサポート、実験的な`stream/iter`モジュールの追加。\n`AsyncLocalStorage`に`using`スコープの追加、REPLでのカスタムエラーハンドリングのサポートなど。\n\n* * *\n\n## Release v5.0.0 · lerna-lite/lerna-lite\n\ngithub.com/lerna-lite/lerna-lite/releases/tag/v5.0.0\n\n\nmonorepo Tools ReleaseNote\n\nlerna-lite v5.0.0リリース。\nNode.js 20のサポート終了、Conventional Changelogのレガシー設定ファイル読み込みの削除、`--remove-package-fields`オプションの削除。\n内部依存を自前の実装に置き換えることでインストールサイズを削減など\n\n* * *\n\n# アーティクル\n\n* * *\n\n## Storybook MCP for React\n\nstorybook.js.org/blog/storybook-mcp-for-react/\n\n\nstorybook MCP React article\n\nStorybook MCPサーバについて。\nAIエージェントに既存のUIコンポーネントのメタデータ(ストーリー、API、ドキュメント)を提供するMCPサーバ。\n複数のStorybookを組み合わせて使うCompositionにも対応している。\nMCP Appsに対応して、チャットのレスポンスに直接Storyを埋め込めるようになっている。\n\n* * *\n\n## Node.js — Security Bug Bounty Program Paused Due to Loss of Funding\n\nnodejs.org/en/blog/announcements/discontinuing-security-bug-bounties\n\n\nnodejs security article\n\nNode.jsのセキュリティバグバウンティプログラムの一時停止について。\n2016年からHackerOneのInternet Bug Bounty(IBB)プログラムを通じて運用されていたが、IBBプログラムの終了により資金が枯渇したため一時停止となった。\n資金の80%を発見、20%を修正へ割り当てているが、AIなどによる発見の拡大によりバランスが変わった。\n脆弱性の報告自体はHackerOneを通じて引き続き受け付けるが、報告者への金銭的な報酬はなくなる。専用の資金が確保できた場合にプログラムの再開を検討する予定\n\n* * *\n\n## Signals, the push-pull based algorithm — Willy Brauner\n\nwillybrauner.com/journal/signal-the-push-pull-based-algorithm\n\n\nJavaScript article\n\nSignalにおけるpush-pullベースのリアクティブアルゴリズムについての解説記事。\nSignalの基本的な仕組みとして、値の変更時にサブスクライバーへ通知するPush型と、計算値を実際にアクセスされるまで遅延評価するPull型の組み合わせについて解説している。\n\n* * *\n\n## Core JavaScript and TypeScript Features Become Free in IntelliJ IDEA | The IntelliJ IDEA Blog\n\nblog.jetbrains.com/idea/2026/03/js-ts-free-support/\n\n\nJetBrains IDE JavaScript TypeScript\n\nIntelliJ IDEA v2026.1で、JavaScript/TypeScript/HTML/CSSのコア機能が無料で利用可能に。\nこれまでUltimate版のみで提供されていたWeb開発向けの機能が、Community Editionでも利用できるようになった。\nJS/TSのコード補完やリファクタリング、ESLint/Prettierの統合、Viteでのプロジェクト作成、npmスクリプトの実行、依存関係の脆弱性検出などが含まれる。\n\n* * *\n\n## axios Compromised on npm - Malicious Versions Drop Remote Access Trojan - StepSecurity\n\nwww.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan\n\n\nnpm security article\n\naxiosのnpmパッケージに対するサプライチェーン攻撃について。\nソーシャルエンジニアリングによりメンテナーアカウントが乗っ取られ、悪意のある`axios@1.14.1`と`axios@0.30.4`が公開された。\nこれらのバージョンには`plain-crypto-js`というマルウェアが依存関係として追加されている。\npostinstallフックを通じてmacOS/Windows/Linux向けのRemote Access Trojan(RAT)をインストールする仕組みになっていた。\n\n * Attackers Are Hunting High-Impact Node.js Maintainers in a C...\n * The Hidden Blast Radius of the Axios Compromise - Socket\n\n\n\n* * *\n\n# サイト、サービス、ドキュメント\n\n* * *\n\n## Introducing EmDash — the spiritual successor to WordPress that solves plugin security\n\nblog.cloudflare.com/emdash-wordpress/\n\n\ncloudflare CMS TypeScript astro security OpenSource wordpress\n\nCloudflareによるサーバーレスCMS。\nTypeScriptで書かれ、Astro 6.0をベースにしたオープンソース(MITライセンス)のCMS。\nプラグインを独立したサンドボックス環境(Dynamic Workers)で実行し、プラグイン起因のセキュリティ問題を解決するアーキテクチャを採用している。\nMCPやCLIによるAIエージェント連携、x402プロトコルによる決済統合などの機能も備えている。\n\n* * *\n\n## vercel-labs/emulate: Local API emulation for CI and no-network sandboxes\n\ngithub.com/vercel-labs/emulate\n\n\nvercel API testing CI Tools nodejs server\n\nVercel/GitHub/Google/Slack/AWS(S3/SQS)などのAPIをローカルでエミュレートするツール。\n外部APIのモックサーバとして利用できる。\n各サービスはステートフルにデータを保持し、OAuth 2.0フローやWebhookにも対応している。\n\n* * *\n\n# ソフトウェア、ツール、ライブラリ関係\n\n* * *\n\n## ArrowJS — The first UI framework for the agentic era\n\narrow-js.com/\n\n\nJavaScript TypeScript WebAssembly library\n\nビルドステップなしで動作する軽量なUIフレームワーク。`reactive`、`html`、`component`の3つの関数で構成される。\nAI向けにWebAssemblyサンドボックス内でコンポーネントロジックを分離して実行する機能を持つ。\n\n* * *\n\n# 書籍関係\n\n* * *\n\n## React本格入門 | 技術評論社\n\ngihyo.jp/book/2026/978-4-297-15523-0\n\n\nReact book\n\n2026年4月15日発売。\nReact 19をベースにした入門書。\n\n* * *",
"title": "2026-04-06のJS: TypeScript 6.0、ES2026 RC、axiosサプライチェーン攻撃"
}