Атака на ланцюг постачання NPM знову сталася, @ctrl/tinycolor випустив шкідливу версію

ChainCatcher повідомляє, що Scam Sniffer виявив ще одну атаку на ланцюг постачання NPM: @ctrl/tinycolor (щотижнева кількість завантажень досягає 2.2 мільйона) випустив шкідливу версію, яка під час виконання postinstall (після встановлення) скрипту в npm запускає програму для крадіжки інформації з метою сканування та викрадення конфіденційних даних.

Цей шкідливий код зловживає легальним інструментом для сканування конфіденційної інформації TruffleHog. Будь ласка, перевірте, чи не завантажили ви уражену версію, призупиніть встановлення/оновлення та зафіксуйте версію на відомо безпечній.