一、 漏洞 CVE-2025-54313 基础信息

                                        # N/A

## 概述

`eslint-config-prettier` 的多个版本被发现包含嵌入的恶意代码，导致供应链攻击。受影响版本在安装时会执行恶意脚本，危害用户系统安全。

## 影响版本

- `eslint-config-prettier@8.10.1`
- `eslint-config-prettier@9.1.1`
- `eslint-config-prettier@10.1.6`
- `eslint-config-prettier@10.1.7`

## 细节

- 安装受影响版本时，会执行一个恶意的 `install.js` 文件。
- 该脚本在 Windows 系统中会加载并运行 `node-gyp.dll` 恶意文件。
- `node-gyp.dll` 被确认为一种恶意软件，可能进一步危害系统或植入后门。

## 影响

- 恶意代码在安装时自动执行，用户可能在无意识中受到攻击。
- 主要影响 Windows 平台上的开发环境。
- 攻击可能导致系统被远程控制、敏感信息泄露或其他恶意行为。
                                        

二、漏洞 CVE-2025-54313 的公开POC

三、漏洞 CVE-2025-54313 的情报信息

• 标题： Active Supply Chain Attack: npm Phishing Campaign Leads to P... -- 🔗来源链接

  标签：

  神龙速读

  

• 标题： Popular npm linter packages hijacked via phishing to drop malware -- 🔗来源链接

  标签：

  神龙速读

  

• 标题： four new versions published with no code changes to repo · Issue #339 · prettier/eslint-config-prettier -- 🔗来源链接

  标签：

  神龙速读

  

• 标题： eslint-config-prettier - npm -- 🔗来源链接

  标签：

  神龙速读

  

• 标题： Supply Chain Security Alert: eslint-config-prettier Package Shows Signs of Compromise - StepSecurity -- 🔗来源链接

  标签：

  神龙速读

  

• 标题： eslint-config-prettier npm package compromised | Hacker News -- 🔗来源链接

  标签：

  神龙速读

  

• 标题： ESLint-config-prettier briefly had few versions with malware published | Hacker News -- 🔗来源链接

  标签：

  神龙速读

  
• https://nvd.nist.gov/vuln/detail/CVE-2025-54313

四、漏洞 CVE-2025-54313 的评论