Атака на цепочку поставок NPM произошла снова: @ctrl/tinycolor выпустил вредоносную версию

ChainCatcher сообщает, что Scam Sniffer обнаружил еще одну атаку на цепочку поставок NPM: @ctrl/tinycolor (еженедельное количество загрузок достигает 2.2 миллионов) выпустил вредоносную версию, которая при выполнении postinstall-скрипта в npm запускает программу для кражи информации с целью сканирования и похищения конфиденциальных данных.

Этот вредоносный код злоупотребляет легитимным инструментом для сканирования конфиденциальной информации TruffleHog. Пожалуйста, проверьте, не загрузили ли вы затронутую версию, приостановите установку/обновление и зафиксируйте версию на известной безопасной.