Разбираемся в уязвимости доступа к файловой системе в npm. Лиран Тал объясняет суть уязвимостей, которым подвержены пакетные менеджеры npm до v6.13.4, yarn до v1.21.1 и pnpm до v4.5.0 при использовании исполняемых бинарных файлов — https://snyk.io/blog/understanding-filesystem-takeover-vulnerabilities-in-npm-javascript-package-manager/