eslint-scope v3.7.2 ворует NPM-токены

    Коллеги, просьба обратить внимание, что если вы сегодня обновляли пакеты nodejs, а именно eslint-scope до версии 3.7.2, то вам нужно срочно поменять NPM-токены и проверить последние коммиты в ваши пакеты.

    Сводная информация об инцидента по ссылке.

    Если коротко, то получив неизвестным образом токены одного из разработчиков eslint-scope была выпущена версия пакета 3.7.2, собирающая токены из файла

    npmrc=path.join(process.env.HOME||process.env.USERPROFILE,'.npmrc');
    

    и отправляющая их злоумышленникам.

    Версии eslint-scope 3.7.1 и 3.7.3 — безопасны.

    Версия 3.7.2 удалена с репозитория NPM, но может еще оставаться в локальных кеширующих репозиториях.

    Для проверки, что вы неподвержены влиянию предлагаются следующие варианты:

    1.
    for packagejson in $(find ~/code -name 'package.json' -path '*node_modules/eslint-scope/*'); do jq '.version' $packagejson | grep '3.7.2' 1>/dev/null; if [[ $? == "0" ]]; then echo $packagejson; fi; done
    

    2. gist.github.com/brownstein/8aaade4953807f512d416da0c6a5a5f6 (скрипт отсюда).

    UPD> Это важно, т.к. этот пакет является зависимостью в eslint. И вроде бы ещё в babel и webpack.
    • +22
    • 3,1k
    • 4
    Поделиться публикацией
    Похожие публикации
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 4
      +1
      Что ещё раз намекает на то, что нужен дополнительный слой контроля перед заливом пакетов в паблик. Многие разработчики вообще node с npm через sudo запускают, что может вылиться в замечательную вирусную эпидемию / массовую кражу данных.
        +6
        Как бы стоит упомянуть, что этот пакет является зависимостью в eslint. И вроде бы ещё в babel и webpack.
        Напрямую-то его вряд ли кто использует.
          0
          Добавил. Спасибо за уточнение.
          +2
          И ещё апдейт — поэтому npm отозвал все токены, выпущеные до 2018-07-12 12:30 UTC:

          We have now invalidated all npm tokens issued before 2018-07-12 12:30 UTC, eliminating the possibility of stolen tokens being used maliciously. This is the final immediate operational action we expect to take today.

          We will be conducting a forensic analysis of this incident to fully establish how many packages and users were affected, but our current belief is that it was a very small number. We will be conducting a deep audit of all the packages in the Registry to confirm this.

          Ну и они продолжают исследовать, как это могло повлиять на другие пакеты, но полагают, что мало кого затронуло:
          We will be conducting a forensic analysis of this incident to fully establish how many packages and users were affected, but our current belief is that it was a very small number. We will be conducting a deep audit of all the packages in the Registry to confirm this.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое