Kollegen, bitte beachten Sie, dass Sie, wenn Sie heute nodejs-Pakete aktualisiert haben, nämlich eslint-scope auf Version 3.7.2, dringend NPM-Token ändern und die neuesten Commits in Ihren Paketen überprüfen müssen.
Eine Zusammenfassung des Vorfalls durch Bezugnahme .
Kurz gesagt, nachdem auf unbekannte Weise die Token eines der Entwickler von eslint-scope erhalten wurden, wurde eine Version des Pakets 3.7.2 veröffentlicht, in der Token aus einer Datei gesammelt wurden
npmrc=path.join(process.env.HOME||process.env.USERPROFILE,'.npmrc');
und sie an Angreifer senden.
Eslint-Scope-Versionen 3.7.1 und 3.7.3 sind sicher.
Version 3.7.2 wurde aus dem NPM-Repository entfernt, verbleibt jedoch möglicherweise weiterhin in lokalen Caching-Repositorys.
Mit den folgenden Optionen können Sie überprüfen, ob Sie nicht betroffen sind:
1.
for packagejson in $(find ~/code -name 'package.json' -path '*node_modules/eslint-scope/*'); do jq '.version' $packagejson | grep '3.7.2' 1>/dev/null; if [[ $? == "0" ]]; then echo $packagejson; fi; done
2.gist.github.com/brownstein/8aaade4953807f512d416da0c6a5a5f6 (das
Skript stammt von hier ).
UPD> Das ist wichtig, weil Dieses Paket ist süchtig nach Eslint. Und es scheint immer noch in Babel und Webpack zu sein.