同事,请注意,如果您今天更新了nodejs软件包,即eslint-scope到版本3.7.2,则需要紧急更改NPM令牌并检查软件包中的最新提交。
通过参考总结该事件 。
简而言之,在以一种未知的方式收到一个eslint-scope开发人员的令牌后,发布了3.7.2版的程序包,它从文件中收集令牌
npmrc=path.join(process.env.HOME||process.env.USERPROFILE,'.npmrc');
并将其发送给攻击者。
Eslint范围3.7.1和3.7.3是安全的。
版本3.7.2已从NPM存储库中删除,但仍可能保留在本地缓存存储库中。
以下选项可用于验证您是否不受影响:
1。
for packagejson in $(find ~/code -name 'package.json' -path '*node_modules/eslint-scope/*'); do jq '.version' $packagejson | grep '3.7.2' 1>/dev/null; if [[ $? == "0" ]]; then echo $packagejson; fi; done
2.gist.github.com/brownstein/8aaade4953807f512d416da0c6a5a5f6 (
脚本位于此处 )。
UPD>这很重要,因为 这个包裹沉迷于埃斯林特。 而且它似乎仍然在babel和webpack中。