🚨 Une autre attaque de la chaîne d'approvisionnement NPM `@ctrl/tinycolor` (2,2 millions de téléchargements hebdomadaires) a expédié des versions malveillantes qui exécutent un infostealer lors de l'installation postérieure à npm pour scanner et exfiltrer des données sensibles. Le payload abuse de TruffleHog, un scanner de secrets légitime. Vérifiez si vous avez téléchargé des versions affectées, mettez en pause les installations/mises à jour et fixez-vous à des versions connues comme sûres. Source: