🚨 Kolejny atak na łańcuch dostaw NPM `@ctrl/tinycolor` (2,2M pobrań tygodniowo) wydał złośliwe wersje, które uruchamiają infostealera podczas postinstall npm, aby skanować i wykradać wrażliwe dane. Ładunek wykorzystuje TruffleHog, legalny skaner sekretów. Sprawdź, czy pobrałeś dotknięte wersje, wstrzymaj instalacje/aktualizacje i przypnij do znanych dobrych wydań. Źródło: