CVE-2025-54313 — 神龙十问 AI 深度分析摘要

🚨 **本质**：供应链投毒。黑客通过钓鱼攻击控制了 `eslint-config-prettier` 等知名 npm 包，在代码中**嵌入恶意代码**。💥 **后果**：导致**供应链攻击**，下载该包的开发者项目会被植入后门，引发数据泄露或系统被控。

🛡️ **CWE-506**：软件包含对第三方组件的不当扩展。⚠️ **缺陷点**：开发者信任的 lint 配置包被篡改，恶意载荷隐藏在看似正常的配置文件中，绕过常规代码审查。

📦 **组件**：`eslint-config-prettier` (Prettier 官方生态)。📉 **高危版本**： - **8.10.1** - **9.1.1** - **10.1.6** - **10.1.7** ⚠️ 注意：这些是特定历史版本，需检查 `package-lock.json`。

🔓 **权限**：取决于运行环境，可能获得**执行任意代码**的能力。💾 **数据**：恶意代码可窃取敏感信息、篡改构建产物。🌐 **范围**：影响所有依赖了上述被污染版本的 CI/CD 流水线和本地开发环境。

🎯 **利用门槛**：**高 (AC:H)**。CVSS 显示攻击复杂度较高。🔑 **认证**：无需认证 (PR:N)，但需要受害者**主动安装**或更新到被污染的特定版本。👀 **UI**：无需用户交互 (UI:N)。

🔍 **PoC/工具**： 1. `cve-2025-54313.sh`：检测项目中是否有受感染包、可疑文件和导入语句。 2. `scavenger_scanner`：专门针对 Windows 环境检测 IOCs。 🌍 **在野**：已确认发生大规模 npm 钓鱼攻击事件。

🔎 **自查步骤**： 1. 检查 `package-lock.json` 中 `eslint-config-prettier` 版本是否为 **8.10.1, 9.1.1, 10.1.6, 10.1.7**。 2. 运行提供的 `cve-2025-54313.sh` 脚本扫描项目。 3. 检查是否有异常的 `import` 语句或不明来源的文件。

🛠️ **官方修复**：数据未提供具体补丁版本号，但明确指出**受影响版本存在漏洞**。✅ **建议**：升级至**最新稳定版**（非上述列出的漏洞版本），并重新生成 `lock` 文件。参考 npm 官方版本页确认安全版本。

🚫 **临时规避**： 1. **锁定版本**：确保不自动更新到受影响版本。 2. **离线构建**：在隔离环境中验证依赖包完整性。 3. **使用工具**：部署 `socket.dev` 或类似工具监控供应链风险，拦截可疑包。

🔥 **优先级**：**高 (I:H)**。虽然 CVSS 总分中等，但**完整性 (I:H)** 和 **影响范围 (S:C)** 极高。供应链攻击影响深远，建议**立即排查**所有项目依赖，防止恶意代码植入生产环境。