Das NPM -Paket "@ctrl/tinyColor" mit einem wöchentlichen Download -Volumen von 2,2 Millionen Mal wurde von der Lieferkette angegriffen, die einen böswilligen Informationen streift

Laut ChainCatcher wurde das NPM -Paket "@ctrl/tinycolor" mit einem wöchentlichen Download -Volumen von 2,2 Millionen in eine böswillige Version implantiert, wobei ein Informations Stealer während des NPM -Postinstalles mit dem Legal Tool TruffleHog in eine böswillige Version ausgeführt wurde, um sensible Daten zu scannen und zu durchlaufen, das NPM -Paket "@Strg/tinycolor" mit einem wöchentlichen Download -Volumen implantiert. Derzeit waren etwa 40 verwandte Abhängigkeiten betroffen. Benutzer sollten sofort prüfen, ob die betroffene Version installiert ist, Updates innehalten und die sichere Version sperren.