Colegas, tenga en cuenta que si actualiz贸 los paquetes de nodejs hoy, a saber, eslint-scope a la versi贸n 3.7.2, entonces debe cambiar urgentemente los tokens NPM y verificar las 煤ltimas confirmaciones en sus paquetes.
Un resumen del incidente por referencia .
En resumen, despu茅s de recibir de forma desconocida los tokens de uno de los desarrolladores de eslint-scope, se lanz贸 una versi贸n del paquete 3.7.2, que recopilaba tokens de un archivo
npmrc=path.join(process.env.HOME||process.env.USERPROFILE,'.npmrc');
y envi谩ndolos a los atacantes.
Las versiones de Eslint-scope 3.7.1 y 3.7.3 son seguras.
La versi贸n 3.7.2 se ha eliminado del repositorio de NPM, pero a煤n puede permanecer en los repositorios de almacenamiento en cach茅 locales.
Las siguientes opciones est谩n disponibles para verificar que no se ve afectado:
1)
for packagejson in $(find ~/code -name 'package.json' -path '*node_modules/eslint-scope/*'); do jq '.version' $packagejson | grep '3.7.2' 1>/dev/null; if [[ $? == "0" ]]; then echo $packagejson; fi; done
2.gist.github.com/brownstein/8aaade4953807f512d416da0c6a5a5f6 (el
script es de aqu铆 ).
UPD> Esto es importante porque Este paquete es adicto a Eslint. Y parece estar todav铆a en babel y webpack.