Comando para verificar se o seu projeto possui alguma dependência comprometida (mesmo que seja de uma sub-dependência):
npm ls [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
Se o comando acima listar qualquer coisa, um pacote malicioso foi instalado.
Em paralelo a isso, você pode rodar um audit geral no projeto, mas que vai daí avaliar qualquer falha, inclusive falsos positivos, pois esse comando é conhecido por fazer isso, então até prefiro primeiro rodar o npm ls ali de cima:
npm audit