CVE-2025-54313

Prettier eslint-config-prettier

ВЕРОЯТНОСТЬ 7.0%
Дата обнаружения

2026-01-22

Официальное описание

Prettier eslint-config-prettier contains an embedded malicious code vulnerability. Installing an affected package executes an install.js file that launches the node-gyp.dll malware on Windows.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-54313 представляет собой классическую атаку на цепочку поставок (Supply Chain Attack). В легитимный пакет eslint-config-prettier (в определенные скомпрометированные версии) был внедрен вредоносный код.

Вектор атаки эксплуатирует механизм хуков жизненного цикла пакетного менеджера npm. При установке зараженного пакета автоматически запускается встроенный скрипт install.js. Если установка производится на операционной системе Windows, этот скрипт инициирует загрузку и выполнение вредоносной динамической библиотеки node-gyp.dll. Это приводит к скрытой компрометации рабочей станции разработчика или CI/CD сервера, что может повлечь за собой кражу учетных данных, исходного кода или дальнейшее продвижение злоумышленников по корпоративной сети.

Как исправить

  1. Немедленно удалите скомпрометированный пакет из вашего проекта, чтобы предотвратить его дальнейшее распространение и случайный запуск.
npm uninstall eslint-config-prettier
  1. Очистите глобальный кэш пакетного менеджера. Это необходимо для того, чтобы вредоносная версия не была установлена повторно из локального хранилища при последующих сборках.
npm cache clean --force
  1. Удалите файлы блокировок и директорию с модулями, чтобы гарантировать чистую установку дерева зависимостей.
rm -rf node_modules package-lock.json
  1. Установите заведомо безопасную (пропатченную) версию пакета, официально выпущенную мейнтейнерами после устранения инцидента.
npm install eslint-config-prettier@latest --save-dev
  1. Инициируйте процедуру реагирования на инциденты (Incident Response) для систем Windows, на которых производилась установка пакета. Удаление npm-пакета не удаляет уже внедренное в систему вредоносное ПО. Необходимо провести поиск индикаторов компрометации (IoC), в частности, найти и изолировать файл node-gyp.dll, а также проверить систему антивирусным ПО и EDR-решениями.

Временные меры

  1. Глобально отключите выполнение скриптов жизненного цикла (preinstall, install, postinstall) в npm. Это заблокирует автоматический запуск вредоносного install.js при загрузке любых пакетов.
npm config set ignore-scripts true
  1. Если глобальное отключение ломает сборку других легитимных пакетов, используйте флаг игнорирования скриптов локально при каждой новой установке подозрительных или обновляемых модулей.
npm install --ignore-scripts

  1. Зафиксируйте строгие версии всех зависимостей в package.json. Удалите символы каретки (^) и тильды (~) перед версией eslint-config-prettier, чтобы предотвратить автоматическое обновление до потенциально зараженных минорных версий или патчей при выполнении npm install.

  2. Регулярно проверяйте дерево зависимостей на наличие известных уязвимостей с помощью встроенного аудита.

npm audit
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей