ESLint 취약점 정리: 공급망 공격으로 본 오픈소스 보안 리스크

2025년 ESLint 공급망 공격 정리

핵심: 2025년 7월, eslint-config-prettier 등 인기 ESLint·Prettier 관련 패키지가 유지관리자 계정 탈취 → 악성 postinstall 실행 → Windows에서 DLL 호출 형태로 악용된 공급망 공격이 보고되었습니다. 개발자는 즉시 의존성 확인 및 업데이트가 필요합니다.

1) 사건 개요

• 유지관리자 npm 계정이 피싱으로 탈취
• 악성 스크립트(install.js)와 DLL 포함된 버전 배포
• Windows 환경에서 rundll32를 통한 원격 코드 실행 시도
• 공식 대응: 취약 버전 삭제·보안 공지·클린 버전 재배포

2) 영향을 받은 대표 패키지 및 버전

• eslint-config-prettier: 8.10.1, 9.1.1, 10.1.6, 10.1.7
• 그 외 보고된 패키지: eslint-plugin-prettier, synckit 등

3) 기술적 영향

• 실행 시점: 설치 단계에서 postinstall 스크립트가 자동 실행
• 플랫폼 특이성: 주로 Windows 환경에서 악성 DLL 실행
• 영향: 인기 패키지의 변조로 전이적 의존까지 광범위한 영향

4) 개발자 조치 체크리스트

• 의존성 트리 확인: npm ls eslint-config-prettier
• 취약 버전 즉시 제거 또는 공지된 안전 버전으로 업그레이드
• 설치 시 스크립트 비활성화: npm install --ignore-scripts 또는 YARN_IGNORE_SCRIPTS=true yarn install
• lockfile 및 CI 캐시 초기화 후 재설치
• 의심 파일 탐지(예: install.js, DLL 파일) 및 빌드 에이전트 점검
• npm 토큰/자격증명 재발급, 2FA 활성화

5) 장기적 권고

• 불필요한 의존성 제거 및 버전 고정
• 빌드 환경 분리 및 CI에서 스크립트 실행 제한
• SBOM 관리 및 SCA 도구 도입(Snyk, Dependabot 등)
• 유지관리자·개발자 대상 피싱 교육 강화

결론

이번 사건은 오픈소스 공급망 보안의 취약점을 다시 보여줍니다. 의존성 확인·업데이트·CI 보안 강화는 모든 개발자와 조직에 필수입니다.

---

참고: NVD CVE, GitHub Security Advisory, Snyk 등 공식 출처의 공지와 보안 권고를 함께 확인하세요.

공식 참고 문헌 : https://www.endorlabs.com/learn/cve-2025-54313-eslint-config-prettier-compromise