文章总结： 近日，npm热门包eslint-config-prettier因维护者遭钓鱼攻击被劫持，攻击者发布恶意版本，在安装时会投放远程访问木马。该攻击利用了GitHubDependabot等自动化工具自动合并更新的漏洞，导致包括微软在内的数千项目和开发环境暴露于风险之中。事件警示，自动化更新不能完全替代人工审核，开发环境的权限管控与凭证安全亟待强化。 综合评分： 85 文章分类： 供应链安全,恶意软件,网络安全,数据安全,应用安全

npm热门包eslint-config-prettier遭劫持，供应链攻击威胁数千项目

原创

甲子元 甲子元

安全代码

2026年3月20日 07:28 山西

近日，ReversingLabs披露一起针对npm生态系统的高度针对性供应链攻击。广泛使用的eslint-config-prettier软件包因维护者遭遇钓鱼攻击被劫持，恶意版本在两小时内被移除，但其高达35亿次的累计下载量及1.2万个依赖项目，使数千开发环境暴露于风险之中。

攻击手法：伪造官方邮件，窃取凭证发布恶意包

攻击者伪装成npm官方支持邮箱，向维护者发送钓鱼邮件并引导其访问仿冒的npm官方界面，成功窃取账户凭证。被劫持的账户随后被用于发布eslint-config-prettier的恶意版本，同时遭入侵的还包括eslint-plugin-prettier、synckit、@pkgr/core和napi-postinstall等多个软件包。

恶意行为：投放远程访问木马，感染构建流程

受影响的恶意版本包含一个postinstall脚本，会在安装过程中投放Windows PE DLL文件，进而部署Scavenger远程访问木马。该恶意DLL被命名为node-gyp.dll，在检测时仅被72款杀毒引擎中的19款识别，凸显检测盲点。

自动化工具放大风险：Dependabot自动合并致微软项目受影响

此次攻击影响扩大的关键因素在于GitHub Dependabot等自动依赖更新工具的广泛使用。ReversingLabs观察到，在部分案例中，Dependabot自动发起版本升级的PR，另一自动化工具批准并合并，导致在PR检查过程中即安装了恶意依赖。受影响者包括公共自行车管理公司Dott的仓库，甚至微软旗下的一个开源项目。

行业警示：自动更新不能绕过人工审核

尽管eslint-config-prettier通常作为开发依赖使用，但因部分工作流配置不当，恶意代码常在构建过程中被执行。ReversingLabs搜索显示，有46个GitHub仓库在其package-lock.json中包含受影响依赖。报告强调，依赖自托管运行器且配置不当的组织尤为脆弱，恶意代码可能在构建结束后持续存在。

此次事件为软件供应链安全敲响警钟：自动更新绝不能完全替代人工审核。随着泄露的GitHub令牌成为攻击者热门目标，开发环境权限管控与凭证安全亟待强化。

来源：安全客

山西甲子元科技有限公司

产品介绍：

软件：防泄密、行为管理、行为审计、云文档安全管理、数据智能备份等安全管理系统。

电话：0351-3366668

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全代码 甲子元 甲子元《npm热门包eslint-config-prettier遭劫持，供应链攻击威胁数千项目》