🚨 Un altro attacco alla supply chain di NPM `@ctrl/tinycolor` (2,2 milioni di download settimanali) ha distribuito versioni malevole che eseguono un infostealer durante il postinstall di npm per scansionare ed estrarre dati sensibili. Il payload sfrutta TruffleHog, un legittimo scanner di segreti. Controlla se hai scaricato versioni interessate, interrompi installazioni/aggiornamenti e fissa a versioni conosciute e sicure. Fonte: