首页
快讯详情
🌙
夜间模式
NPM 包「@ctrl/tinycolor」遭供应链攻击,含恶意信息窃取器
来源: ForesightNews
时间: 2025-09-16 11:02:10
据 Scam Sniffer 监测,周下载量 220 万的 NPM 包「@ctrl/tinycolor」被植入恶意版本,在 npm postinstall 过程中运行信息窃取器,利用合法工具 TruffleHog 扫描并外泄敏感数据。目前已波及约 40 个相关依赖包。用户应立即检查是否安装受影响版本,暂停更新,并锁定安全版本。
语音播报
复制分享
生成海报
相关新闻
周下载量 220 万次的 NPM 包 “@ctrl/tinycolor” 遭供应链攻击,含恶意信息窃取器
ChainCatcher
2025-09-16 09:53:05
周下载量220万次的NPM包「@ctrl/tinycolor」遭供应链攻击,含恶意信息窃取器
BlockBeats
2025-09-16 09:52:09
周下载量220万次的NPM包“@ctrl/tinycolor”遭供应链攻击,含恶意信息窃取器
Odaily
2025-09-16 09:39:08
又一次针对 NPM 供应链的攻击:@ctrl/tinycolor 发布恶意版本
CoinWorld
2025-09-16 09:36:03
针对 NPM 供应链的攻击事件再次发生,@ctrl/tinycolor 发布恶意版本
ChainCatcher
2025-09-16 09:32:03
针对NPM供应链的攻击事件再次发生,@ctrl/tinycolor发布恶意版本
PANews
2025-09-16 09:31:33
链接已复制到剪贴板