Атака на цепочку поставок NPM произошла снова, @Ctrl/Tinycolor выпускает вредоносную версию

По словам CheanCatcher, Scam Sniffer контролировал еще одну атаку на цепочку поставок NPM. @CTRL/TinyColor (загруженная 2,2 миллиона раз в неделю) выпускала вредоносную версию, которая будет запускать информационный краж, когда NPM выполняет сценарий PostInstall для сканирования и кражи конфиденциальных данных. Эта злонамеренная полезная нагрузка злоупотребляет легальным конфиденциальным инструментом для сканирования информации Trufflehog. Пожалуйста, проверьте, была ли затронутая версия, приостановите операцию установки/обновления и прикрепите версию в известную безопасную версию.