Kolejny atak na łańcuch dostaw NPM miał miejsce! Pakiet @ctrl/tinycolor, który ma 2,2 miliona pobrań tygodniowo, wydał złośliwe wersje, które uruchamiają infostealera podczas procesu postinstall npm, aby wyszukiwać i wykradać wrażliwe informacje. Złośliwy ładunek wykorzystuje TruffleHog, legalne narzędzie do skanowania sekretów. Upewnij się, że sprawdziłeś, czy zainstalowałeś dotknięte wersje, wstrzymaj wszelkie trwające instalacje lub aktualizacje i wróć do znanych bezpiecznych wydań.