Снова произошла атака на цепочку поставок NPM! Пакет @ctrl/tinycolor, который имеет 2,2 миллиона загрузок в неделю, выпустил вредоносные версии, которые выполняют инфостилер во время процесса postinstall npm, чтобы искать и эксфильтровать конфиденциальную информацию. Вредоносный код использует TruffleHog, легитимный инструмент для сканирования секретов. Убедитесь, что вы проверили, установлены ли у вас затронутые версии, остановите любые текущие установки или обновления и вернитесь к известным безопасным версиям.