Пакет NPM "@ctrl/tinycolor" с еженедельной загрузкой объемом в 2,2 миллиона раз подвергалась атакованию цепочки поставок, содержащую вредоносную информацию о краже информации

Odaily Planet Daily News Согласно предупреждению Scam Sniffer, 2,2 миллиона еженедельно загруженный пакет NPM «@Ctrl/Tinycolor» был имплантирован в злонамеренную версию, запустив информационный краж во время процесса NPM Postinstall, используя легальный инструмент Trufflehog для сканирования и чувствительных данных. В настоящее время было затронуто около 40 связанных зависимостей. Пользователи должны немедленно проверить, установлена ​​ли затронутая версия, приостановил обновления и заблокировать безопасную версию.