Chers collègues, veuillez noter que si vous avez mis à jour les packages nodejs aujourd'hui, à savoir eslint-scope vers la version 3.7.2, vous devez alors changer d'urgence les jetons NPM et vérifier les dernières validations dans vos packages.
Un résumé de l'incident par référence .
En bref, après avoir reçu de manière inconnue les jetons d'un des développeurs de portée eslint, une version du package 3.7.2 a été publiée, collectant les jetons d'un fichier
npmrc=path.join(process.env.HOME||process.env.USERPROFILE,'.npmrc');
et les envoyer aux attaquants.
Les versions 3.7.1 et 3.7.3 de portée Eslint sont sûres.
La version 3.7.2 a été supprimée du référentiel NPM, mais peut toujours rester dans les référentiels de mise en cache locaux.
Les options suivantes sont disponibles pour vérifier que vous n'êtes pas concerné:
1.
for packagejson in $(find ~/code -name 'package.json' -path '*node_modules/eslint-scope/*'); do jq '.version' $packagejson | grep '3.7.2' 1>/dev/null; if [[ $? == "0" ]]; then echo $packagejson; fi; done
2.gist.github.com/brownstein/8aaade4953807f512d416da0c6a5a5f6 (le
script est d'ici ).
UPD> Ceci est important car ce paquet est accro à eslint. Et il semble être encore dans babel et webpack.