Атака на цепочку поставок NPM снова возникает
Источник: ChainCatcher
Время: 2025-09-16 09:34:40
По словам CheanCatcher, Scam Sniffer контролировал еще одну атаку на цепочку поставок NPM. @CTRL/TinyColor (загруженная 2,2 миллиона раз в неделю) выпускала вредоносную версию, которая будет запускать информационный краж, когда NPM выполняет сценарий PostInstall для сканирования и кражи конфиденциальных данных.
Эта злонамеренная полезная нагрузка злоупотребляет легальным конфиденциальным инструментом для сканирования информации Trufflehog. Пожалуйста, проверьте, была ли затронутая версия, приостановите операцию установки/обновления и прикрепите версию в известную безопасную версию.