The istanbul npm package is no longer maintained.
Right now, when running npm audit we get:
=== npm audit security report === ┌──────────────────────────────────────────────────────────────────────────────┐ │ Manual Review │ │ Some vulnerabilities require your attention to resolve │ │ │ │ Visit https://go.npm.me/audit-guide for additional guidance │ └──────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution in async │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ async │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.6.4 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ istanbul [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ istanbul > async │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-fwr7-v2mv-hh25 │ └───────────────┴──────────────────────────────────────────────────────────────┘ found 1 high severity vulnerability in 236 scanned packages 1 vulnerability requires manual review. See the full report for details.
Apparently, it can be replaced by nyc.