https://eslint.org/blog/2018/07/postmortem-for-malicious-package-publishes Postmortem for Malicious Packages Published on July 12th, 2018 - ESLint - Pluggable JavaScript linter
npmの認証トークンが全てrevokeされ、もう問題は起きないかと思われますので言及します。
Mastodonにもeslint-scopeの依存が含まれています。そのため、この問題の発生していた時間にnpmコマンドを使ってNode.jsのパッケージのインストールを行っていた場合はnpmの認証トークンが盗み出されていた可能性があります。
ただしMastodonのドキュメントで推奨されているフローであるyarnコマンドを使ったパッケージのインストールを行っていた場合には問題ありません。これはyarn.lockで依存パッケージのバージョンを特定のバージョンで固定させているためです。
@Clworld 山岸さん曰く、Mastodon に関しては yarn を使いインストールしている場合は問題ないそうです https://ykzts.technology/@ykzts/100365397763378700
これ昨日の夜あたりにMastodon更新かけてたりする場合にひっかかる気がする こわひ 「2018/07/12 に発生したセキュリティ インシデント (eslint-scope@ 3.7.2) について」 https://qiita.com/mysticatea/items/0141657e4478d9cf4614
じさばどん