El paquete NPM "@ctrl/tinycolor" con un volumen de descarga semanal de 2.2 millones de veces fue atacado por la cadena de suministro, que contiene un robador de información maliciosa

Según Blockbeats, el 16 de septiembre, según la advertencia de Scam Sniffer, el paquete NPM "@Ctrl/TinyColor" con una descarga semanal de 2.2 millones se implantó en una versión maliciosa. Ejecuta un robador de información durante el proceso NPM Poststall, y utiliza la Tufflehog Legal de la herramienta para escanear y filtrar datos confidenciales. En la actualidad, alrededor de 40 dependencias relacionadas han sido afectadas. Los usuarios deben verificar inmediatamente si la versión afectada está instalada, detener las actualizaciones y bloquear la versión segura.