Toinen NPM-toimitusketjuhyökkäys on tapahtunut! Paketti @ctrl/tinycolor, jolla on 2,2 miljoonaa viikoittaista latausta, julkaisi haitallisia versioita, jotka suorittavat infostealerin npm:n asennuksen jälkeisen prosessin aikana arkaluonteisten tietojen etsimiseksi ja suodattamiseksi. Haitallinen hyötykuorma hyödyntää TruffleHogia, laillista salaista skannaustyökalua. Varmista, että olet asentanut versiot, joita ongelma koskee, pysäytä kaikki käynnissä olevat asennukset tai päivitykset ja palaa tunnettuihin turvallisiin julkaisuihin.