周下载量220万次的NPM包“@ctrl/tinycolor”遭供应链攻击,含恶意信息窃取器
来源: Odaily
时间: 2025-09-16 09:39:08
Odaily星球日报讯 据 Scam Sniffer 警告,周下载量 220 万的 NPM 包“@ctrl/tinycolor”被植入恶意版本,在 npm postinstall 过程中运行信息窃取器,利用合法工具 TruffleHog 扫描并外泄敏感数据。目前已波及约 40 个相关依赖包。用户应立即检查是否安装受影响版本,暂停更新,并锁定安全版本。