メモ

2018 年 7 月 12 日に、ESLint 開発チームが管理する npm パッケージに悪意あるコードが挿入されるセキュリティ インシデントがありました。

ESLint からのアナウンス: https://eslint.org/blog/2018/07/postmortem-for-malicious-package-publishes
npm からのアナウンス: https://status.npmjs.org/incidents/dn7c1fgrr7ng
以下の場合に npm install を実行したユーザーの npm アカウントへのログイン情報 (アクセストークン) が盗まれた恐れがあります (盗まれたアクセストークンはすでに無効化されています)。

日本時間の 18:49 から 19:25 の約 1 時間のあいだに npm install を実行し、eslint-config-eslint@5.x またはそれに依存しているパッケージをインストールした。
日本時間の 19:40 から 21:37 の約 2 時間のあいだに npm install を実行し、eslint-scope@3.x またはそれに依存しているパッケージ (Webpack, ESLint 4, babel-eslint, vue-eslint-parser, eslint-plugin-vue 等) をインストールした。
特に ESLint 4 と Webpack が含まれている点で影響が大きいと考えられます。影響の大きさを鑑みて、npm の運営は問題が終息した時刻より前に発行されたアクセストークンをすべて破棄しました。これにより、攻撃コードが搾取したアクセストークンはすべて無効化されています。

2018/07/12 に発生したセキュリティ インシデント (eslint-scope@3.7.2) について - Qiita