eslint-config-prettier npm package compromised
10 months ago
- #npm
- #security
- #supply-chain
- 关于eslint-config-prettier npm软件包供应链安全事件的调查报告
- 维护者JounQin确认钓鱼攻击导致多个流行软件包版本被篡改
- 受影响软件包及版本包括eslint-config-prettier(8.10.1、9.1.1、10.1.6、10.1.7)、eslint-plugin-prettier(4.2.2、4.2.3)等
- 恶意版本发布时未在GitHub仓库同步代码变更
- 被篡改版本会安装影响Windows用户的DLL文件
- Dependabot和Renovate Bot等自动化工具已将项目升级至存在漏洞的版本
- 建议措施:锁定安全版本、检查近期依赖项更新记录、审计CI/CD流水线
- 当前调查重点:篡改内容分析、攻击途径溯源及影响范围评估