Un hacker è riuscito ad accedere all’account npm di uno sviluppatore (npm è un package manager per Javascript) nella notte fra l’11 e il 12 di Luglio, inserendo un token malevolo che gli ha consentito di rilasciare un aggiornamento della libreria eslint-scope nonché eslint-config-eslint. La libreria eslint-scope (la cui versione malevola nel frattempo è stata rimossa) è usata come dipendenza da molti pacchetti noti. Il codice conteneva istruzioni per rubare le password npm, e considerando il tempo che è rimasta attiva potrebbe aver sottratto potenzialmente 4.500 credenziali di altrettanti utilizzatori.
Se a una prima occhiata il furto potrebbe sembrare limitato, in realtà la situazione è complicata dal fatto che ora ognuna di queste credenziali potenzialmente sottratte potrebbe essere usata esattamente allo stesso modo, ovvero collegandosi al npm e compromettendo altre librerie Javascript, usate da pacchetti e pagine web ovunque.
Maggiori informazioni sul blog di Eslint e Bleepingcomputer.