È avvenuto un altro attacco alla supply chain di NPM! Il pacchetto @ctrl/tinycolor, che ha 2,2 milioni di download settimanali, ha rilasciato versioni malevole che eseguono un infostealer durante il processo di postinstallazione di npm per cercare ed esfiltrare informazioni sensibili. Il payload malevolo sfrutta TruffleHog, uno strumento legittimo per la scansione di segreti. Assicurati di verificare se hai installato le versioni interessate, interrompi eventuali installazioni o aggiornamenti in corso e torna a versioni sicure conosciute.