Главная » Хабрахабр » eslint-scope v3.7.2 ворует NPM-токены

eslint-scope v3.7.2 ворует NPM-токены

Коллеги, просьба обратить внимание, что если вы сегодня обновляли пакеты nodejs, а именно eslint-scope до версии 3.7.2, то вам нужно срочно поменять NPM-токены и проверить последние коммиты в ваши пакеты.

Сводная информация об инцидента по ссылке.

7. Если коротко, то получив неизвестным образом токены одного из разработчиков eslint-scope была выпущена версия пакета 3. 2, собирающая токены из файла

npmrc=path.join(process.env.HOME||process.env.USERPROFILE,'.npmrc');

и отправляющая их злоумышленникам.

7. Версии eslint-scope 3. 7. 1 и 3. 3 — безопасны.

7. Версия 3. 2 удалена с репозитория NPM, но может еще оставаться в локальных кеширующих репозиториях.
Для проверки, что вы неподвержены влиянию предлагаются следующие варианты:

1.

for packagejson in $(find ~/code -name 'package.json' -path '*node_modules/eslint-scope/*'); do jq '.version' $packagejson | grep '3.7.2' 1>/dev/null; if [[ $? == "0" ]]; then echo $packagejson; fi; done

2. gist.github.com/brownstein/8aaade4953807f512d416da0c6a5a5f6 (скрипт отсюда).

этот пакет является зависимостью в eslint. UPD> Это важно, т.к. И вроде бы ещё в babel и webpack.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

На кого и для чего будут «стучать» мессенджеры

Так, для подтверждения абонентского номера пользователю мессенджера будет предложено совершить действия с использованием этого номера, позволяющие достоверно установить, что он использует сообщенный абонентский номер при регистрации в мессенджере. Итак, Правительством РФ установлен порядок идентификации пользователей мессенджеров. Данный порядок начнет действовать ...

[Из песочницы] Как минимизировать ошибки при интеграции с внешними сервисами: опыт онлайн-брокера

За полтора года мы интегрировались по API с двадцатью внешними сервисами. Первые пять интеграций прошли через боль и слезы — мы допустили все возможные ошибки. По несколько раз переписывали код, расставались с партнерами перед самым релизом, потому что не смогли ...