🚨 Een andere NPM-aanval op de toeleveringsketen `@ctrl/tinycolor` (2,2 miljoen wekelijkse downloads) heeft kwaadaardige versies uitgebracht die een infostealer uitvoeren tijdens npm postinstall om gevoelige gegevens te scannen en te exfiltreren. De payload misbruikt TruffleHog, een legitieme geheimscanner. Controleer of je getroffen versies hebt gedownload, pauzeer installaties/updates en pin naar bekende goede versies. Bron: