Executando verificação de segurança...
Em resposta a Hackers sequestram pacotes NPM com mais de 2 bilhões de downloads semanais
24
filipedeschamps

Comando para verificar se o seu projeto possui alguma dependência comprometida (mesmo que seja de uma sub-dependência):

npm ls ansi-styles@6.2.2 debug@4.4.2 chalk@5.6.1 supports-color@10.2.1 strip-ansi@7.1.1 ansi-regex@6.2.1 wrap-ansi@9.0.1 color-convert@3.1.1 color-name@2.0.1 is-arrayish@0.3.3 slice-ansi@7.1.1 color@5.0.1 color-string@2.1.1 simple-swizzle@0.2.3 supports-hyperlinks@4.1.1 has-ansi@6.0.1 chalk-template@1.1.1 backslash@0.2.1 error-ex@1.3.3 proto-tinker-wc@1.8.7

Se o comando acima listar qualquer coisa, um pacote malicioso foi instalado.

Em paralelo a isso, você pode rodar um audit geral no projeto, mas que vai daí avaliar qualquer falha, inclusive falsos positivos, pois esse comando é conhecido por fazer isso, então até prefiro primeiro rodar o npm ls ali de cima:

npm audit
Carregando publicação patrocinada...
4
1
1
NathanAP

Filipe, eu sei que você fez a verificação dessas versões específicas, mas as versões abaixo dessas também não estariam comprometidas?
Nenhuma das minhas dependencias usa o anti-styles na 6.2.2 por exemplo, mas tenho uma que usa na 6.2.1.

2
2