eslint-config-prettier遭劫持:下载量超3000万的npm包如何传播恶意软件
talkingdev • 2025-07-22
4270 views
近日,一起供应链攻击事件震惊了npm生态系统,攻击者通过入侵eslint-config-prettier等流行npm包的维护者账户,成功传播了恶意软件。安全公司SafeDep通过自动化扫描技术检测到这些恶意包,发现其中包含可疑代码,包括PE32+可执行文件和安装脚本中的命令注入漏洞。经分析,这款名为Scavenger的恶意软件主要针对Windows系统,旨在窃取文件和用户凭证。此次事件凸显了开源软件供应链的脆弱性,尤其是像npm这样拥有庞大用户基础的平台,一旦核心维护者账户被攻破,可能导致数百万开发者受到影响。专家呼吁开发者加强账户安全措施,并建议企业采用更严格的依赖包审查流程。
核心要点
- eslint-config-prettier等流行npm包维护者账户被入侵,导致恶意软件传播
- SafeDep通过自动化扫描发现PE32+可执行文件和命令注入等恶意代码
- Scavenger恶意软件主要针对Windows系统,旨在窃取敏感数据和凭证