Kompromitirani popularni npm Linter paketi

Sažetak

Dana 18. srpnja 2025. otkriven je napad na niz popularnih npm paketa nakon što je održavatelj JounQin kompromitiran putem sofisticiranog phishing napada. Ključni pogođeni paketi uključuju:

• eslint-config-prettier
• eslint-plugin-prettier
• synckit
• @pkgr/core
• napi-postinstall
• got-fetch (od drugog autora, ali pogođen na isti način)

Napadač je poslao e-mail koji je imitirao podršku npmjs.com, vodeći na lažnu domenu npnjs[.]com. Ukradeni npm token omogućio je objavu zlonamjernih verzija paketa s install.js skriptom koja automatski preuzima i izvršava DLL datoteke na Windows sustavima (node-gyp.dll, crashreporter.dll) putem rundll32.

Utjecaj i rizici

• Pogođeni sustavi: Uglavnom Windows okruženja.
• Razina prijetnje: Visoka – omogućeno izvršavanje proizvoljnog koda.
• Vidljivost napada: Niska – samo 19 od 72 antivirusna alata detektira prijetnju.
• Povjerenje u open-source: Ozbiljno narušeno zbog kompromitiranih vjerodajnica održavatelja.

Kako znati jeste li pogođeni?

Moguće ste pogođeni ako ste nakon 18. srpnja 2025.:

• Instalirali neke od sljedećih verzija:
  • eslint-config-prettier: 8.10.1, 9.1.1, 10.1.6, 10.1.7
  • eslint-plugin-prettier: 4.2.2, 4.2.3
  • synckit: 0.11.9
  • @pkgr/core: 0.2.8
  • napi-postinstall: 0.3.1
  • got-fetch: 5.1.11, 5.1.12
• Uključili te verzije u package-lock.json, yarn.lock, pnpm-lock.yaml, bun.lock
• Imali postinstall skripte koje pozivaju install.js ili DLL fajlove poput node-gyp.dll

Preporuke

1. Odmah uklonite pogođene verzije paketa.
2. Zamijenite ih sigurnim verzijama ili alternativama.
3. Provjerite logove CI/CD sustava i pokrenute buildove.
4. Rotirajte vjerodajnice ako su bile izložene.
5. Omogućite 2FA na npm računima.
6. Edukacija timova – posebno o ciljanom phishingu.
7. Pratite sustave za znakove sumnjivih DLL aktivnosti (rundll32).

‍