又一次针对 NPM 供应链的攻击:@ctrl/tinycolor 发布恶意版本
来源: CoinWorld
时间: 2025-09-16 09:36:03
币界网消息,Scam Sniffer 检测到另一起针对 NPM 供应链的攻击。@ctrl/tinycolor(每周下载 220.00 万次)发布了一个恶意版本,该版本在 npm 的 postinstall 脚本期间运行信息窃取程序,以扫描和窃取敏感数据。此恶意有效负载滥用了合法的敏感信息扫描工具 TruffleHog。请检查您是否已下载受影响的版本,暂停安装/更新,并锁定到已知的安全版本。