Le package NPM "@ Ctrl / Tinycolor" avec un volume de téléchargement hebdomadaire de 2,2 millions de fois a été attaqué par la chaîne d'approvisionnement, contenant un voleur d'informations malveillant

Selon Chaincatcher, selon Scam Sniffer Warning, le package NPM "@ Ctrl / Tinycolor" avec un volume de téléchargement hebdomadaire de 2,2 millions a été implanté dans une version malveillante, exécutant un voleur d'informations pendant le processus de post-stall NPM, en utilisant le trufflehog de l'outil légal pour scanner et divulguer des données sensibles. À l'heure actuelle, une quarantaine de dépendances connexes ont été affectées. Les utilisateurs doivent immédiatement vérifier si la version affectée est installée, faire une pause et verrouiller la version sécurisée.