Пакет NPM "@ctrl/tinycolor" с еженедельной загрузкой объемом в 2,2 миллиона раз подвергалась атакованию цепочки поставок, содержащую вредоносную информацию о краже информации

Согласно Blockbeats, 16 сентября, согласно предупреждению Scam Sniffer's, пакет NPM «@Ctrl/TinyColor» с еженедельной загрузкой 2,2 миллиона была внедрена в злонамеренную версию. Он запускает информационный краж во время процесса Postinstall NPM и использует легальный инструмент Trufflehog для сканирования и утечки данных. В настоящее время было затронуто около 40 связанных зависимостей. Пользователи должны немедленно проверить, установлена ​​ли затронутая версия, приостановил обновления и заблокировать безопасную версию.