Outro ataque à cadeia de fornecimento do NPM ocorreu! O pacote @ctrl/tinycolor, que tem 2,2 milhões de downloads semanais, lançou versões maliciosas que executam um infostealer durante o processo de pós-instalação do npm para procurar e exfiltrar informações sensíveis. O payload malicioso explora o TruffleHog, uma ferramenta legítima de verificação de segredos. Certifique-se de verificar se instalou as versões afetadas, interrompa quaisquer instalações ou atualizações em andamento e reverta para versões conhecidas como seguras.