概要
event-stream@3.3.6
に攻撃コードが混入されました。
私のプロジェクトで依存を確認したところ、nodemon@1.18.6
が対象だったためその時の確認方法と対処法を記載します。
確認方法
コマンドを叩いて確認する。
ターミナル
npm ls event-stream flatmap-stream
結果が以下のように event-stream@3.3.6
と flatmap-stream@0.1.1
が表示されれば攻撃コード混入パッケージが依存している。
ターミナル
`-- nodemon@1.18.6
`-- pstree.remy@1.1.0
`-- ps-tree@1.1.0
`-- event-stream@3.3.6
`-- flatmap-stream@0.1.1
対処法
nodemonの再インストールで nodemon@1.18.7
以上にする。
ターミナル
npm uninstall nodemon
npm install --save-dev nodemon
依存していないことを確認
npm ls event-stream flatmap-stream
`-- (empty)
確認コマンドでnodemon以外の event-stream@3.3.6
に依存しているパッケージがあった場合は対処が必要です。