🚨 هجوم آخر على سلسلة التوريد NPM قام "@ctrl / tinycolor" (2.2 مليون تنزيل أسبوعي) بشحن إصدارات ضارة تقوم بتشغيل سرقة معلومات أثناء تثبيت npm postinstall للبحث عن البيانات الحساسة واستخراجها. تسيء الحمولة استخدام TruffleHog ، وهو ماسح ضوئي سري شرعي. تحقق مما إذا كنت قد سحبت الإصدارات المتأثرة، وأوقف عمليات التثبيت/التحديثات مؤقتا، وقم بتثبيتها بالإصدارات المعروفة الجيدة. مصدر: