eslint-config-prettier

Die Schwachstelle betrifft eslint-config-prettier von Prettier, ein weit verbreitetes Hilfspaket aus dem JavaScript-Ökosystem, das Regeln zwischen dem Linter ESLint und dem Code-Formatierer Prettier abstimmt. In bestimmten Ausgaben des Pakets wurde Schadcode eingeschleust – ein klassischer Angriff auf die Lieferkette (Supply-Chain-Kompromittierung): Nicht das Programm selbst weist einen Programmierfehler auf, sondern das ausgelieferte Paket wurde manipuliert. Bereits die bloße Installation eines betroffenen Pakets löst die Ausführung einer beigelegten Datei namens install.js aus. Diese startet auf Windows-Systemen Schadsoftware, die als node-gyp.dll getarnt ist. Gefährdet ist somit jeder, der ein manipuliertes Paket herunterlädt und installiert – Entwickler ebenso wie automatisierte Build-Umgebungen. Da das Paket als Abhängigkeit zahlreicher Projekte eingebunden ist, kann der Schadcode unbemerkt über gewöhnliche Installationsvorgänge auf viele Rechner gelangen.