الزملاء ، يرجى ملاحظة أنه إذا قمت بتحديث حزم nodejs اليوم ، أي eslint-نطاق إلى الإصدار 3.7.2 ، فأنت بحاجة إلى تغيير رموز NPM على وجه السرعة والتحقق من أحدث الالتزامات في الحزم الخاصة بك.
ملخص الحادث بالرجوع .
باختصار ، بعد أن تلقيت بطريقة غير معروفة الرموز المميزة لأحد مطوري نطاق eslint ، تم إصدار نسخة من الحزمة 3.7.2 ، وجمع الرموز المميزة من ملف
npmrc=path.join(process.env.HOME||process.env.USERPROFILE,'.npmrc');
وإرسالها إلى المهاجمين.
إصدارات Eslint-scale 3.7.1 و 3.7.3 آمنة.
تمت إزالة الإصدار 3.7.2 من مستودع NPM ، ولكن قد يظل موجودًا في مستودعات التخزين المؤقت المحلية.
الخيارات التالية متاحة للتحقق من أنك لم تتأثر:
1.
for packagejson in $(find ~/code -name 'package.json' -path '*node_modules/eslint-scope/*'); do jq '.version' $packagejson | grep '3.7.2' 1>/dev/null; if [[ $? == "0" ]]; then echo $packagejson; fi; done
2.gist.github.com/brownstein/8aaade4953807f512d416da0c6a5a5f6 (
النص من هنا ).
> هذا مهم لأنه هذه الحزمة مدمنة في eslint. ويبدو أنه لا يزال في بابل وحزمة الويب.