🚨 Ein weiterer NPM-Lieferkettenangriff `@ctrl/tinycolor` (2,2 Millionen wöchentliche Downloads) hat bösartige Versionen veröffentlicht, die während der npm postinstall ein Infostealer ausführen, um nach sensiblen Daten zu scannen und diese zu exfiltrieren. Die Payload missbraucht TruffleHog, einen legitimen Geheimnis-Scanner. Überprüfen Sie, ob Sie betroffene Versionen heruntergeladen haben, pausieren Sie Installationen/Updates und fixieren Sie auf bekannte gute Versionen. Quelle: