Ännu en attack mot NPM-leveranskedjan har inträffat! Paketet @ctrl/tinycolor, som har 2,2 miljoner nedladdningar varje vecka, släppte skadliga versioner som kör en infostealer under npm-postinstallationsprocessen för att söka efter och exfiltrera känslig information. Den skadliga nyttolasten utnyttjar TruffleHog, ett legitimt verktyg för hemlig skanning. Se till att kontrollera om du har installerat de berörda versionerna, stoppa alla pågående installationer eller uppdateringar och återgå till kända säkra versioner.