山岸和利 ykzts@ykzts.technology

https://eslint.org/blog/2018/07/postmortem-for-malicious-package-publishes Postmortem for Malicious Packages Published on July 12th, 2018 - ESLint - Pluggable JavaScript linter

npmの認証トークンが全てrevokeされ、もう問題は起きないかと思われますので言及します。

Mastodonにもeslint-scopeの依存が含まれています。そのため、この問題の発生していた時間にnpmコマンドを使ってNode.jsのパッケージのインストールを行っていた場合はnpmの認証トークンが盗み出されていた可能性があります。

ただしMastodonのドキュメントで推奨されているフローであるyarnコマンドを使ったパッケージのインストールを行っていた場合には問題ありません。これはyarn.lockで依存パッケージのバージョンを特定のバージョンで固定させているためです。