Еще одна атака на цепочку поставок NPM: @ctrl/tinicolor выпускает вредоносную версию

Согласно Coinjie.com, Scam Sniffer обнаружил еще одну атаку на цепочку поставок NPM. @CTRL/TinyColor (загруженная 2,2 миллиона раз в неделю) выпускала вредоносную версию, которая запускает информационную краж во время сценария Postinstall от NPM для сканирования и кражи конфиденциальных данных. Эта злонамеренная полезная нагрузка злоупотребляет легальным конфиденциальным инструментом для сканирования информации Trufflehog. Пожалуйста, убедитесь, что вы загрузили затронутую версию, приостановили установку/обновление и заблокируйте известную безопасную версию.