L’article publié le 18 juillet 2025 par StepSecurity.io met en lumière un incident de sécurité de la chaîne d’approvisionnement impliquant le package npm populaire eslint-config-prettier. Plusieurs versions de ce package (10.1.6 à 10.1.9) ont été publiées avec des modifications malveillantes, sans changement de code correspondant dans le dépôt officiel.
Les versions compromises contiennent un payload spécifique à Windows qui exécute un fichier DLL, ce qui pourrait affecter des milliers de projets mis à jour automatiquement par des outils de gestion de dépendances. Les organisations sont invitées à auditer immédiatement leurs dépendances et à revenir à des versions plus sûres pendant que l’enquête se poursuit.
Techniquement, l’attaque consiste à publier des versions compromises sur npm, avec un code JavaScript obfusqué qui exécute ‘rundll32’ avec un fichier DLL intégré situé à ‘./node-gyp.dll’. Le payload est conditionnellement exécuté uniquement sur les plateformes Windows et semble effectuer une reconnaissance du système de fichiers du répertoire temporaire.
L’attaque utilise des outils de gestion de dépendances automatisés tels que Dependabot et Renovate Bot pour se propager à travers plusieurs dépôts. Les IOCs incluent les versions 10.1.6 à 10.1.9 du package et le fichier ‘./node-gyp.dll’.
Cet article est une alerte de sécurité visant à informer les développeurs et les organisations des risques associés à cette compromission de package npm.
🔗 Source originale : https://www.stepsecurity.io/blog/supply-chain-security-alert-eslint-config-prettier-package-shows-signs-of-compromise