O pacote NPM "@ctrl/tinycolor" com um volume semanal de download de 2,2 milhões de vezes foi atacado pela cadeia de suprimentos, contendo um ladrão de informações maliciosas

De acordo com o ChainCatcher, de acordo com o aviso de sniffer de fraude, o pacote NPM "@ctrl/tinycolor" com um volume semanal de download de 2,2 milhões foi implantado em uma versão maliciosa, executando um ladrão de informações durante o processo de pós -instalação do NPM, usando o trufno de ferramentas legais para digitalizar dados sensíveis ao vazamento. Atualmente, cerca de 40 dependências relacionadas foram afetadas. Os usuários devem verificar imediatamente se a versão afetada está instalada, pausará atualizações e bloquear a versão segura.