Došlo k dalšímu útoku na dodavatelský řetězec NPM! Balíček @ctrl/tinycolor, který má 2,2 milionu stažení týdně, vydal škodlivé verze, které během procesu npm po instalaci spustí infostealer, aby vyhledal a exfiltroval citlivé informace. Škodlivý náklad využívá TruffleHog, legitimní nástroj pro skenování tajných kódů. Nezapomeňte ověřit, zda jste nainstalovali dotčené verze, zastavte všechny probíhající instalace nebo aktualizace a vraťte se ke známým bezpečným verzím.