В современном мире программирования и разработки open source проекты играют ключевую роль и являются неотъемлемой частью множества программных продуктов и сервисов. Однако именно ширина распространения и популярность делают такие пакеты привлекательными целями для злоумышленников. Одним из ярких примеров стала недавняя атака на npm-пакет eslint-config-prettier, которая вызвала волну обсуждений в сообществе и стала мощным сигналом тревоги для всех разработчиков. В июле 2025 года аккаунт JounQin, поддерживающего несколько популярных npm-пакетов, включая eslint-config-prettier, был скомпрометирован в результате фишинговой атаки. Взлом позволил злоумышленникам опубликовать шесть версий eslint-config-prettier с встроенным вредоносным кодом, а также внедрить вредоносные изменения в трех других пакетах, которые были принадлежащи этому же аккаунту.
Общий охват этих пакетов составлял около 78 миллионов скачиваний в неделю по состоянию на тот момент, что подчеркивает масштаб возможного ущерба. Уязвимость в supply chain – одна из самых опасных в мире ПО. Нередко именно через доверенные пакеты разработчики невольно загружают и запускают вредоносный код. В случае с eslint-config-prettier злоумышленники добавили в пакет вредоносный сценарий в виде файла install.js и включили его в скрипты установки.
Этот сценарий использовал встроенную в Windows программу rundll32.exe для запуска загруженного PE32+ бинарного файла node-gyp.dll, который являлся основным вредоносным компонентом атаки. Операционная система Linux и macOS были менее подвержены воздействию, так как payload ориентирован на Windows. Вредоносное ПО, получившее название Scavenger, позволяло злоумышленникам собирать важную информацию с зараженных систем, включая файлы, учетные данные и другую конфиденциальную информацию, что могло привести к серьезным последствиям как для индивидуальных пользователей, так и для целых организаций.
Расследование и выявление атаки были инициированы пользователем GitHub под ником dasa, который обнаружил необычные изменения в одном из релизов – 10.1.7 версии eslint-config-prettier. Были зафиксированы изменения в package.json, которые вводили новый скрипт установки, что вызвало подозрения.
После быстрого реагирования со стороны сообщества и разработчиков аккаунт публикатора был обезврежен, а вредоносные пакеты удалены из npm репозитория. Для мониторинга и предотвращения подобных атак используются специализированные инструменты, такие как SafeDep, которые анализируют пакеты на наличие подозрительных компонентов, в том числе исполняемых бинарников и вызываемых скриптов. Инструменты SafeDep vet и pmg позволяют выявлять и предотвращать использование вредоносных пакетов на стадиях разработки, CI/CD и даже во взаимодействии с AI-помощниками и интегрированными средами разработки. Благодаря этому разработчики могут своевременно получать уведомления об угрозах и снижать риски заражения своих проектов. Данный инцидент стал наглядным примером того, что даже хорошо известные и надежные пакеты не застрахованы от компрометации.
Именно из-за этого повышения внимания к безопасности supply chain важна комплексная защита и постоянный аудит зависимостей. Практическим советом для разработчиков является внедрение автоматизированных средств проверки пакетов, обновление зависимостей только из надежных источников, а также повышение осведомленности о возможных фишинговых атаках и других способах компрометации учетных записей. Особое внимание стоит уделить изучению структуры и содержимого пакетов перед их установкой, особенно при появлении новых версий с неожиданными изменениями в скриптах установки и бинарных файлах. Многие разработчики привыкли доверять популярным пакетам именно из-за их популярности и репутации, однако этот инцидент напоминает о том, что доверие не должно быть слепым. Постоянное сотрудничество сообщества, оперативное информирование обо всех угрозах и развитие инструментов безопасности являются ключом к устойчивости всей экосистемы open source.
Разработчикам рекомендуется не игнорировать предупреждения от систем безопасности, регулярно обновлять средства защиты и интегрировать их во все этапы жизненного цикла ПО. В заключение, крупный инцидент с eslint-config-prettier служит важным уроком для всего сообщества. Это сигнал о необходимости повышать кибербезопасность, пересматривать подходы к управлению зависимостями и активнее использовать современные защитные инструменты. Тщательный контроль и проактивные меры помогут минимизировать риски и сохранить доверие к open source технологиям, которые лежат в основе современного цифрового мира.
