Er heeft weer een NPM-aanval op de toeleveringsketen plaatsgevonden! Het pakket @ctrl/tinycolor, dat 2,2 miljoen wekelijkse downloads heeft, heeft kwaadaardige versies uitgebracht die een infostealer uitvoeren tijdens het npm postinstall-proces om gevoelige informatie te zoeken en te exfiltreren. De kwaadaardige payload maakt gebruik van TruffleHog, een legitieme tool voor het scannen van geheimen. Zorg ervoor dat je controleert of je de getroffen versies hebt geïnstalleerd, stop alle lopende installaties of updates, en keer terug naar bekende veilige versies.