又發生了一起 NPM 供應鏈攻擊！ 該包 @ctrl/tinycolor 每週下載量達到 220 萬，發佈了惡意版本，在 npm 的 postinstall 過程中執行信息竊取程序，以搜索和外泄敏感信息。惡意負載利用了 TruffleHog，這是一種合法的秘密掃描工具。 請確保驗證您是否安裝了受影響的版本，停止任何正在進行的安裝或更新，並恢復到已知安全的版本。