複数の nodejs パッケージが悪意のあるコードで埋め込まれていました。影響を受けるパッケージをインストールすると、node-gyp.dll マルウェアを Windows で起動する install.js ファイルが実行されます。以下の nodejs パッケージおよびバージョンが影響を受けます。

  - @pkgr/core 0.2.8
  - eslint-config-prettier 8.10.1、 9.1.1、 10.1.6、 10.1.7
  - eslint-plugin-prettier 4.2.2、 4.2.3
  - get-fetch 5.1.11、 5.1.12
  - napi-postinstall 0.3.1
  - synckit 0.11.9

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Node.js 複数のパッケージに埋め込まれた悪意のあるコードCVE-2025-54313

high Nessus プラグイン ID 245592

バージョン 1.2