Une attaque contre la chaîne d'approvisionnement du NPM s'est à nouveau reproduite, @ Ctrl / Tinycolor a publié une version malveillante

PANEWS le 16 septembre, Scam Sniffer a surveillé une autre attaque contre la chaîne d'approvisionnement du PNJ. @ Ctrl / Tinycolor (téléchargé 2,2 millions de fois par semaine) a publié une version malveillante, qui exécutera un programme de vol d'informations lorsque NPM exécutera un script postinstall (après l'installation) pour scanner et voler des données sensibles. Cette charge utile malveillante abuse de l'outil de balayage des informations sensibles légales. Veuillez vérifier si la version affectée a été téléchargée, en pause l'opération d'installation / mise à jour et épinglez la version sur une version sûre connue.