# eslint-config-prettier 공급망 공격: npm 계정 침해사건 > Clean Markdown view of GeekNews topic #22312. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=22312](https://news.hada.io/topic?id=22312) - GeekNews Markdown: [https://news.hada.io/topic/22312.md](https://news.hada.io/topic/22312.md) - Type: news - Author: [lamanus](https://news.hada.io/@lamanus) - Published: 2025-08-03T20:11:50+09:00 - Updated: 2025-08-03T20:11:50+09:00 - Original source: [safedep.io](https://safedep.io/eslint-config-prettier-major-npm-supply-chain-hack/) - Points: 9 - Comments: 3 ## Summary **eslint-config-prettier**의 npm 계정이 침해되어 최근 **공급망 공격**이 발생하며, 여러 인기 NPM 패키지에 악성 코드가 삽입된 사실이 확인되었습니다. 이 사고는 약 **3천만 주간 다운로드**에 달하는 대규모 패키지들이 영향을 받아, 과거 해당 패키지들을 설치했다면 **.npmrc 파일** 등 민감 정보가 탈취됐을 가능성이 제기됩니다. 개발팀 및 기업에서는 **크레덴셜 즉시 변경** 등 보안 조치가 필수적이며, Node.js 생태계의 **패키지 관리**와 공급망 보안 중요성이 재차 부각되고 있습니다. ## Topic Body ``` Package Name Package Version Weekly Downloads eslint-config-prettier 8.10.1 > 31M eslint-config-prettier 9.1.1 > 31M eslint-config-prettier 10.1.6 > 31M eslint-config-prettier 10.1.7 > 31M eslint-plugin-prettier 4.2.2 > 21M eslint-plugin-prettier 4.2.3 > 21M snyckit 0.11.9 > 21M @pkgr/core 0.2.8 > 16M napi-postinstall 0.3.1 > 9M ``` 다음 패키지가 설치되었던 경우라면 .npmrc가 털렸다 생각하고 크레덴셜 로테이션 시키는게 안전해보입니다. ## Comments ### Comment 42068 - Author: lamanus - Created: 2025-08-04T08:24:44+09:00 - Points: 1 저만 봇 알림을 못받은건가요? 이 글처럼 어떨때는 알림이 안오는거같네요. 흠.. ### Comment 42128 - Author: t7vonn - Created: 2025-08-05T11:09:08+09:00 - Points: 1 - Parent comment: 42068 - Depth: 1 저도 안왔어요 ### Comment 42057 - Author: lamanus - Created: 2025-08-03T20:13:19+09:00 - Points: 2 https://github.com/prettier/eslint-config-prettier/issues/339 https://invokere.com/posts/2025/07/scavenger-malware-distributed-via-eslint-config-prettier-npm-package-supply-chain-compromise/