Colegas, observe que se você atualizou os pacotes nodejs hoje, eslint-scope para a versão 3.7.2, precisará alterar urgentemente os tokens do NPM e verificar as confirmações mais recentes nos seus pacotes.
Um resumo do incidente por referência .
Em suma, tendo recebido de maneira desconhecida os tokens de um dos desenvolvedores do eslint-scope, uma versão do pacote 3.7.2 foi lançada, coletando tokens de um arquivo
npmrc=path.join(process.env.HOME||process.env.USERPROFILE,'.npmrc');
e enviando-os para atacantes.
As versões do escopo Eslint 3.7.1 e 3.7.3 são seguras.
A versão 3.7.2 foi removida do repositório do NPM, mas ainda pode permanecer nos repositórios de armazenamento em cache local.
As seguintes opções estão disponíveis para verificar se você não é afetado:
1
for packagejson in $(find ~/code -name 'package.json' -path '*node_modules/eslint-scope/*'); do jq '.version' $packagejson | grep '3.7.2' 1>/dev/null; if [[ $? == "0" ]]; then echo $packagejson; fi; done
2.gist.github.com/brownstein/8aaade4953807f512d416da0c6a5a5f6 (o
script é daqui ).
UPD> Isso é importante porque este pacote é viciado em eslint. E parece ainda estar no babel e no webpack.