O pacote NPM "@ctrl/tinycolor" com um volume semanal de download de 2,2 milhões de vezes foi atacado pela cadeia de suprimentos, contendo um ladrão de informações maliciosas

De acordo com o BlockBeats, em 16 de setembro, de acordo com o aviso de Scam Sniffer, o pacote NPM "@ctrl/tinycolor" com um download semanal de 2,2 milhões foi implantado em uma versão maliciosa. Ele executa um ladrão de informações durante o processo pós -instalação do NPM e usa o truffflehog legal para digitalizar e vazar dados sensíveis ao. Atualmente, cerca de 40 dependências relacionadas foram afetadas. Os usuários devem verificar imediatamente se a versão afetada está instalada, pausará atualizações e bloquear a versão segura.