pnpm: vazamento de credenciais npm para registro malicioso via .npmrc local

pnpm pode enviar credenciais de autenticação npm sem escopo (ex.: _authToken) do usuário para um registro definido por um .npmrc local do repositório, mesmo quando o repositório não fornece seu próprio token. Isso ocorre porque o pnpm associa credenciais padrão ao registro padrão efetivo, que pode ser alterado por uma configuração de repositório de menor confiança.

Desenvolvedores ou jobs de CI que usam pnpm com credenciais de registro npm configuradas em nível de usuário e executam pnpm install, pnpm view ou comandos equivalentes em um repositório com um .npmrc malicioso que define um registro diferente.

Revise sua versão do pnpm e considere atualizar para uma versão corrigida quando disponível. Como workaround, use credenciais com escopo de URL (ex.: //registry.npmjs.org/:_authToken=...) em vez de _authToken sem escopo, ou audite arquivos .npmrc locais do repositório em busca de configurações de registro inesperadas.