Атака на цепочку поставок NPM произошла снова, @Ctrl/TinyColor выпустила вредоносную версию

Panews 16 сентября новости Scam Sniffer контролировали еще одну атаку на цепочку поставок NPM. @Ctrl/TinyColor (загруженная 2,2 миллиона раз в неделю) выпускала вредоносную версию, которая будет запускать программу кражи информации, когда NPM выполняет сценарий Postinstall (после установки) для сканирования и кражи конфиденциальных данных. Эта злонамеренная полезная нагрузка злоупотребляет легальным конфиденциальным инструментом для сканирования информации Trufflehog. Пожалуйста, проверьте, была ли затронутая версия, приостановите операцию установки/обновления и прикрепите версию в известную безопасную версию.