Outro ataque à cadeia de suprimentos do NPM ocorreu! O pacote @ctrl/tinycolor, que tem 2,2 milhões de downloads semanais, lançou versões maliciosas que executam um infostealer durante o processo de pós-instalação do npm para procurar e exfiltrar informações confidenciais. A carga maliciosa explora o TruffleHog, uma ferramenta legítima de varredura secreta. Verifique se você instalou as versões afetadas, interrompeu todas as instalações ou atualizações em andamento e reverteu para versões seguras conhecidas.