- PVSM.RU - https://www.pvsm.ru -
Коллеги, просьба обратить внимание, что если вы сегодня обновляли пакеты nodejs, а именно eslint-scope до версии 3.7.2, то вам нужно срочно поменять NPM-токены и проверить последние коммиты в ваши пакеты.
Сводная информация об инцидента по ссылке: github.com/eslint/eslint-scope/issues/39 [1]
Если коротко, то получив неизвестным образом токены одного из разработчиков eslint-scope была выпущена версия пакета 3.7.2, собирающая токены из файла
npmrc=path.join(process.env.HOME||process.env.USERPROFILE,'.npmrc');
и отправляющая их злоумышленникам.
Версии eslint-scope 3.7.1 и 3.7.3 — безопасны.
Версия 3.7.2 удалена с репозитория NPM, но может еще оставаться в локальных кеширующих репозиториях.
Для проверки, что вы неподвержены влиянию предлагаются следующие варианты:
1.
for packagejson in $(find ~/code -name 'package.json' -path '*node_modules/eslint-scope/*'); do jq '.version' $packagejson | grep '3.7.2' 1>/dev/null; if [[ $? == "0" ]]; then echo $packagejson; fi; done
2. gist.github.com/brownstein/8aaade4953807f512d416da0c6a5a5f6 [2] (скрипт отсюда: github.com/eslint/eslint-scope/issues/40 [3])
Автор: gre
Источник [4]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/javascript/285837
Ссылки в тексте:
[1] github.com/eslint/eslint-scope/issues/39: https://github.com/eslint/eslint-scope/issues/39
[2] gist.github.com/brownstein/8aaade4953807f512d416da0c6a5a5f6: https://gist.github.com/brownstein/8aaade4953807f512d416da0c6a5a5f6
[3] github.com/eslint/eslint-scope/issues/40: https://github.com/eslint/eslint-scope/issues/40
[4] Источник: https://habr.com/post/417041/?utm_campaign=417041
Нажмите здесь для печати.