Des packages npm très largement utilisés (plus de 2 milliards de téléchargements par semaine au total !) ont été compromis. Pensez à vérifier si vous êtes impacté.
Un standard intéressant pour indiquer à d'éventuels visiteurs qui découvriraient une éventuelle faille de sécurité sur votre site comment vous contacter avec au besoin une clé PGP pour chiffrer le message.
Trouver des failles XSS sur les sites de Google demande quand même un poil de persévérance :D
Un bel exemple de reverse engineering.