Hier je suis tombé sur cet article qui pourrait vous intéresser et que je vous transmets pour information :
https://linuxfr.org/users/nono/journaux/une-backdoor-vient-d-etre-trouvee-dans-un-paquet-npm-connu
package.json sur les branches 1.6 et dev :
"event-stream": "3.3.4",
et flatmap-stream n’est pas dans les dépendances de event-stream.