👀 Quer verificar se seu projeto foi afetado?

Verificação Rápida (2 minutos)

Entre na pasta do seu projeto e execute:

npm ls --depth=10 | grep -E "@asyncapi|@ensdomains|@posthog|@postman|@zapier|@voiceflow|@browserbasehq|@oku-ui"

Se retornar algo, seu projeto pode estar afetado.

Verificação por Grupo

AsyncAPI Tools

npm ls @asyncapi/cli @asyncapi/parser @asyncapi/generator --depth=10

Ethereum/ENS

npm ls @ensdomains/ensjs ethereum-ens crypto-addr-codec --depth=10

PostHog Analytics

npm ls posthog-js posthog-node @posthog/agent --depth=10

Postman

npm ls @postman/postman-mcp-server @postman/mcp-ui-client --depth=10

Zapier

npm ls zapier-platform-core @zapier/zapier-sdk --depth=10

Voiceflow

npm ls @voiceflow/api-sdk @voiceflow/runtime --depth=10

Script Automatizado

Cole isso em um arquivo check-compromised-deps.sh:

#!/bin/bash

echo "🔍 Verificando dependências comprometidas..."
echo ""

CRITICAL_PACKAGES=(
  "@asyncapi/cli"
  "@ensdomains/ensjs"
  "posthog-js"
  "posthog-node"
  "@postman/postman-mcp-server"
  "zapier-platform-core"
  "@voiceflow/api-sdk"
  "ethereum-ens"
  "utilitas"
)

FOUND=0

for pkg in "${CRITICAL_PACKAGES[@]}"; do
  if npm ls "$pkg" --depth=10 &>/dev/null; then
    echo "⚠️  ENCONTRADO: $pkg"
    FOUND=$((FOUND + 1))
  fi
done

echo ""
if [ $FOUND -eq 0 ]; then
  echo "✅ Nenhuma dependência comprometida encontrada"
else
  echo "❌ Encontradas $FOUND dependências comprometidas"
  echo ""
  echo "Execute 'npm audit' para mais detalhes"
fi

Execute:

chmod +x check-compromised-deps.sh
./check-compromised-deps.sh

Comandos Úteis

Ver árvore completa de uma dependência:

npm ls [nome-do-pacote] --depth=10

Verificar vulnerabilidades conhecidas:

npm audit

Gerar relatório JSON:

npm ls --json --depth=10 > deps-report.json

Pacotes Específicos Mais Críticos

Se usar algum destes, verifique imediatamente:

• @asyncapi/[email protected]
• [email protected]
• [email protected], 5.11.3, 5.13.3
• @postman/[email protected], 2.4.11
• [email protected], 18.0.3
• @voiceflow/[email protected], 3.28.59
• [email protected]
• [email protected]

FAQ Rápido

P: depth=10 é necessário?
R: Sim, a dependência comprometida pode ser transitiva (dependência de dependência).

P: Encontrei mas não uso diretamente
R: Ainda é problema. Use npm ls [pacote] --depth=10 para ver quem está trazendo.

P: O que fazer se encontrar?
R: Execute npm audit, documente, e aguarde orientações oficiais dos mantenedores.

---

Espero que ajude! Se alguém tiver mais dicas ou boas práticas de mitigação, bora compartilhar por aqui! 💬