🚨 Outro ataque à cadeia de fornecimento do NPM `@ctrl/tinycolor` (2,2M downloads semanais) enviou versões maliciosas que executam um infostealer durante o postinstall do npm para escanear e exfiltrar dados sensíveis. O payload abusa do TruffleHog, um scanner de segredos legítimo. Verifique se você puxou versões afetadas, pause as instalações/atualizações e fixe em lançamentos conhecidos como bons. Fonte: