周下载量 220 万次的 NPM 包 “@ctrl/tinycolor” 遭供应链攻击，含恶意信息窃取器

来源: ChainCatcher 时间: 2025-09-16 09:53:05

ChainCatcher 消息，据 Scam Sniffer 警告，周下载量 220 万的 NPM 包 “@ctrl/tinycolor” 被植入恶意版本，在 npm postinstall 过程中运行信息窃取器，利用合法工具 TruffleHog 扫描并外泄敏感数据。目前已波及约 40 个相关依赖包。用户应立即检查是否安装受影响版本，暂停更新，并锁定安全版本。

链接已复制到剪贴板

周下载量 220 万次的 NPM 包 “@ctrl/tinycolor” 遭供应链攻击，含恶意信息窃取器

相关新闻