eslint-scope v3.7.2 ворует NPM-токены

Коллеги, просьба обратить внимание, что если вы сегодня обновляли пакеты nodejs, а именно eslint-scope до версии 3.7.2, то вам нужно срочно поменять NPM-токены и проверить последние коммиты в ваши пакеты.

Сводная информация об инцидента по ссылке: github.com/eslint/eslint-scope/issues/39

Если коротко, то получив неизвестным образом токены одного из разработчиков eslint-scope была выпущена версия пакета 3.7.2, собирающая токены из файла
npmrc=path.join(process.env.HOME||process.env.USERPROFILE,'.npmrc');

и отправляющая их злоумышленникам.
Версии eslint-scope 3.7.1 и 3.7.3 — безопасны.
Версия 3.7.2 удалена с репозитория NPM, но может еще оставаться в локальных кеширующих репозиториях.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Выкрутили автоматизацию на максимум: с чем кроме инвентаризации помог переход на NetBox
• Aisha: Как использование ИИ в переписках с клиентами позволило на 32% увеличить кол-во лидов на покупку квартир в новостройке
• Spark_news: Т-Технологии стали основным владельцем «Точки», выкупив 64- процентную долю
• Spark_news: Ozon fresh и «Ашан» запустили совместный бренд готовой еды
• Нужна новая стратегия: как сегодняшние киберугрозы меняют подходы к управлению доступом
• Steppo: Как Steppo меняет подход к он-бордингу пользователей и сотрудников
• Дисклеймеры в аудиорекламе не выполняют свою функцию
• Доходы фрилансеров за пределами России выросли в среднем на 14%
• Зачем бизнесу E2EE и почему без него сегодня совсем нельзя работать
• Настоящая пекарня: Digital-стратегия для франчайзи: как сделать из пекарни онлайн-магнит и обогнать конкурентов