npm Supply Chain Attack: Tampering in eslint-config-prettier and other packages with malicious code analysis

关键信息总结 漏洞概述 漏洞类型: 供应链安全警报 受影响的包: eslint-config-prettier 问题: 显示出被篡改的迹象 确认受影响的包和版本 eslint-config-prettier - v8.3.0 - v8.2.0 - v8.1.0 - v8.0.0 - v7.2.0 - v7.1.0 - v7.0.0 - v6.0.0 - v5.0.0 - v4.0.0 - v3.0.0 - v2.0.0 - v1.0.0 其他受影响的包 - @typescript-eslint/eslint-plugin: v5.3.0, v5.2.0, v5.1.0, v5.0.0 - @typescript-eslint/parser: v5.3.0, v5.2.0, v5.1.0, v5.0.0 - eslint-plugin-import: v2.25.3, v2.25.2, v2.25.1, v2.25.0 - eslint-plugin-jsdoc: v36.6.0, v36.5.0, v36.4.0, v36.3.0 - eslint-plugin-prettier: v4.0.0, v3.4.1, v3.4.0, v3.3.1 - prettier: v2.5.1, v2.5.0, v2.4.1, v2.4.0 更新与进展 更新1: eslint-config-prettier 维护者确认供应链攻击 更新2: 官方 CVE 分配 更新3: 攻击活动扩展到 'is' 包 更新4: 攻击活动扩展到 got-fetch 包 总结与观察 关键观察: 攻击者利用了 npm 身份验证令牌泄露，对多个包进行了篡改。 恶意代码示例: 立即建议 固定到较早版本 审查最近的依赖项更新 审核 CI/CD 管道 监控更新 使用 StopSecurity Enterprise 客户端进行检测 后续步骤 检查项目中是否存在受影响的包 提交报告以帮助调查 避免使用可能受感染的包 参考资料 相关链接

目標達成 すべての支援者に感謝 — 100%達成しました！

npm Supply Chain Attack: Tampering in eslint-config-prettier and other packages with malicious code analysis

目標達成すべての支援者に感謝 — 100%達成しました！