又发生了一起 NPM 供应链攻击！ 该包 @ctrl/tinycolor 每周下载量达到 220 万，发布了恶意版本，在 npm 的 postinstall 过程中执行信息窃取程序，以搜索和外泄敏感信息。恶意负载利用了 TruffleHog，这是一种合法的秘密扫描工具。 请确保验证您是否安装了受影响的版本，停止任何正在进行的安装或更新，并恢复到已知安全的版本。