Kolega, harap perhatikan bahwa jika Anda memperbarui paket nodejs hari ini, yaitu eslint-scope ke versi 3.7.2, maka Anda perlu segera mengganti token NPM dan memeriksa komitmen terbaru dalam paket Anda.
Ringkasan kejadian dengan referensi .
Singkatnya, setelah menerima dengan cara yang tidak diketahui token dari salah satu pengembang eslint-lingkup, versi paket 3.7.2 dirilis, mengumpulkan token dari file
npmrc=path.join(process.env.HOME||process.env.USERPROFILE,'.npmrc');
dan mengirim mereka ke penyerang.
Versi eslint-scope 3.7.1 dan 3.7.3 aman.
Versi 3.7.2 telah dihapus dari repositori NPM, tetapi mungkin masih tetap dalam repositori caching lokal.
Opsi berikut tersedia untuk memverifikasi bahwa Anda tidak terpengaruh:
1.
for packagejson in $(find ~/code -name 'package.json' -path '*node_modules/eslint-scope/*'); do jq '.version' $packagejson | grep '3.7.2' 1>/dev/null; if [[ $? == "0" ]]; then echo $packagejson; fi; done
2.gist.github.com/brownstein/8aaade4953807f512d416da0c6a5a5f6 (
skrip berasal dari sini ).
UPD> Ini penting karena paket ini kecanduan eslint. Dan tampaknya masih dalam format babel dan webpack.