Comments 4
Что ещё раз намекает на то, что нужен дополнительный слой контроля перед заливом пакетов в паблик. Многие разработчики вообще node с npm через sudo запускают, что может вылиться в замечательную вирусную эпидемию / массовую кражу данных.
Как бы стоит упомянуть, что этот пакет является зависимостью в eslint. И вроде бы ещё в babel и webpack.
Напрямую-то его вряд ли кто использует.
Напрямую-то его вряд ли кто использует.
И ещё апдейт — поэтому npm отозвал все токены, выпущеные до 2018-07-12 12:30 UTC:
Ну и они продолжают исследовать, как это могло повлиять на другие пакеты, но полагают, что мало кого затронуло:
We have now invalidated all npm tokens issued before 2018-07-12 12:30 UTC, eliminating the possibility of stolen tokens being used maliciously. This is the final immediate operational action we expect to take today.
We will be conducting a forensic analysis of this incident to fully establish how many packages and users were affected, but our current belief is that it was a very small number. We will be conducting a deep audit of all the packages in the Registry to confirm this.
Ну и они продолжают исследовать, как это могло повлиять на другие пакеты, но полагают, что мало кого затронуло:
We will be conducting a forensic analysis of this incident to fully establish how many packages and users were affected, but our current belief is that it was a very small number. We will be conducting a deep audit of all the packages in the Registry to confirm this.
Sign up to leave a comment.
eslint-scope v3.7.2 ворует NPM-токены