esbuild Deno module baixa binários sem verificação de integridade

O módulo Deno do esbuild (lib/deno/mod.ts) baixa binários nativos de um registro npm sem verificação de integridade (ex.: SHA-256), ao contrário do equivalente Node.js que possui a função binaryIntegrityCheck. Isso permite que um invasor controlando a variável de ambiente NPM_CONFIG_REGISTRY forneça um binário malicioso, resultando em execução remota de código.

Todos os projetos Deno que usam esbuild, especialmente pipelines CI/CD, ambientes de desenvolvimento compartilhados ou redes corporativas onde NPM_CONFIG_REGISTRY está definido.

Atualize o esbuild para uma versão corrigida assim que disponível, ou adicione manualmente verificação de integridade SHA-256 ao módulo Deno conforme sugerido no aviso. Como workaround, evite definir NPM_CONFIG_REGISTRY para registros não confiáveis e garanta que a variável de ambiente não esteja sob controle de atacantes.