eslint-scope v3.7.2 vole des jetons NPM

Chers collègues, veuillez noter que si vous avez mis à jour les packages nodejs aujourd'hui, à savoir eslint-scope vers la version 3.7.2, vous devez alors changer d'urgence les jetons NPM et vérifier les dernières validations dans vos packages.

Un résumé de l'incident par référence .

En bref, après avoir reçu de manière inconnue les jetons d'un des développeurs de portée eslint, une version du package 3.7.2 a été publiée, collectant les jetons d'un fichier

npmrc=path.join(process.env.HOME||process.env.USERPROFILE,'.npmrc'); 

et les envoyer aux attaquants.

Les versions 3.7.1 et 3.7.3 de portée Eslint sont sûres.

La version 3.7.2 a été supprimée du référentiel NPM, mais peut toujours rester dans les référentiels de mise en cache locaux.

Les options suivantes sont disponibles pour vérifier que vous n'êtes pas concerné:

1.
 for packagejson in $(find ~/code -name 'package.json' -path '*node_modules/eslint-scope/*'); do jq '.version' $packagejson | grep '3.7.2' 1>/dev/null; if [[ $? == "0" ]]; then echo $packagejson; fi; done 

2.gist.github.com/brownstein/8aaade4953807f512d416da0c6a5a5f6 (le script est d'ici ).

UPD> Ceci est important car ce paquet est accro à eslint. Et il semble être encore dans babel et webpack.

Source: https://habr.com/ru/post/fr417041/


All Articles