Ein Angriff auf die NPM -Lieferkette ereignete sich erneut, @Strg/TinyColor veröffentlichte eine böswillige Version

Panews am 16. September hat Betrug Sniffer einen weiteren Angriff auf die NPM -Lieferkette überwacht. @Strg/TinyColor (2,2 Millionen Mal pro Woche heruntergeladen) veröffentlichte eine böswillige Version, in der ein Informationen zum Stehlen von Informationen ausführt, wenn NPM ein Postinstall -Skript (nach der Installation) ausführt, um sensible Daten zu scannen und zu stehlen. Diese böswillige Nutzlast missbraucht das gesetzliche sensible Informations -Scan -Tool TruffleHog. Bitte überprüfen Sie, ob die betroffene Version heruntergeladen wurde, montieren Sie den Installations-/Aktualisierungsvorgang und stecken Sie die Version in eine bekannte sichere Version.