Why pnpm no longer expands environment variables in a repository's .npmrc | pnpm

悪意あるリポジトリで.npmrcを使って環境変数が盗まれる問題への対策として、pnpmがリポジトリ管理の.npmrcで環境変数を展開しなくなった経緯の解説。 v10.34.2/v11.5.3以降、リポジトリ内の.npmrcやpnpm-workspace.yamlの認証情報やレジストリURLに含まれる${...}は展開されなくなった。 ユーザーレベルの~/.npmrcや PNPM_CONFIG_NPMRC_AUTH_FILE で指定されている.npmrcでは引き続き展開される。

関連URL

• CAND-PNPM-122: Repository config can expand victim environment secrets into registry requests before scripts run · Advisory · pnpm/pnpm