Das NPM -Paket "@ctrl/tinyColor" mit einem wöchentlichen Download -Volumen von 2,2 Millionen Mal wurde von der Lieferkette angegriffen, die einen böswilligen Informationen streift

Laut Blockbeats zufolge wurde das NPM -Paket "@Strg/TinyColor" am 16. September mit einem wöchentlichen Download von 2,2 Millionen in eine böswillige Version implantiert. Es wird während des NPM -Prozesss nach dem Install einen Information Stealer ausgeführt und verwendet das Legal Tool TruffleHog, um sensible Daten zu scannen und zu lecken. Derzeit waren etwa 40 verwandte Abhängigkeiten betroffen. Benutzer sollten sofort prüfen, ob die betroffene Version installiert ist, Updates innehalten und die sichere Version sperren.