Incidencia de seguridad con el paquete event-stream en npm.

¿Que ha ocurrido?

Reporte original: dominictarr/event-stream#116 (comment)

La libreria flatmap-stream dependencia del paquete event-stream ha sido infectada por un malware que trata de robar crypto monedas. Este paquete es usado por algunos de los mas populares proyectos como nodemon. Si no estas minando o guardando crypto monedas no deberias tener ningun problema, no obstante yo te recomiendaria que lo arreglaras de todas maneras de tus proyectos.

¿Esta mi proyecto infectado?

Para saber si nuestro proyecto esta infectado, ejecutamos el siguiente comando ‘npm ls event-stream flatmap-stream‘ y si encontramos la dependencia flatmap-stream@0.0.1 o una version inferior de la dependencia event-stream@3.3.4 estaremos infectados y deberemos solucionarlo.

¿Como solucionarlo?

Actualizaremos el paquete event-stream a la version 3.3.4 o superior.

By this time fixes are being deployed and npm has yanked the malicious version. Ensure that the developer(s) of the package you are using are aware of this post. If you are a developer update your event-stream dependency to event-stream@3.3.4. This protects people with cached versions of event-stream.

Para hacer esto tenemos dos opciones

1. Borrar la carpeta node_modules y re instalar todos los paquetes con el comando npm install.
2. Reinstalar el paquete infectado que encontramos anteriormente.

Es importante que comprobemos y arreglemos las dependencias globales.

Solucionando problemas con nodemon, vue, angular y react

Ya que estos paquetes son instalados en globalmente, podremos reinstalarlos facilmente con los siguientes comandos:

 

Espero que os haya servido de ayuda!