CVE-2025-54313

Nome do Software Vulnerável e Versões Afetadas Versões do eslint-config-prettier de 8.10.1 a 10.1.7

Descrição O pacote npm eslint-config-prettier foi comprometido por meio de um ataque à cadeia de suprimentos resultante de um ataque de phishing contra os mantenedores. A instalação das versões afetadas executa um arquivo install.js, que dispara o malware node-gyp.dll em sistemas Windows. O pacote possui mais de 30 milhões de downloads semanais, representando um risco significativo à cadeia de suprimentos. O código malicioso foi injetado via um script postinstall que utiliza o rundll32.exe para executar um trojan. Este problema afeta não apenas os usuários diretos do pacote, mas também projetos que o incluem como uma dependência de desenvolvimento. O arquivo install.js é executado durante a instalação do pacote.

Recomendações Devem ser utilizadas versões anteriores à 8.10.1 e versões posteriores à 10.1.7. Para as versões de 8.10.1 a 9.1.1 e a 10.1.7, evite a instalação. Para a versão 10.1.6, nenhuma ação é necessária, pois foi determinado que ela é segura.