Le package NPM "@ ctrl / tinycolor" a été attaqué par la chaîne d'approvisionnement, contenant des informations malveillantes volées

Selon Scam Sniffer Monitoring, le package NPM "@ Ctrl / Tinycolor" avec un volume de téléchargement hebdomadaire de 2,2 millions a été implanté dans une version malveillante. Il exécute un voleur d'informations pendant le processus Postinstall NPM et utilise l'outil juridique trufflehog pour scanner et fuir les données sensibles. À l'heure actuelle, une quarantaine de dépendances connexes ont été affectées. Les utilisateurs doivent immédiatement vérifier si la version affectée est installée, faire une pause et verrouiller la version sécurisée.