Muling naganap ang insidente ng pag-atake sa NPM supply chain, naglabas ng malisyosong bersyon ang @ctrl/tinycolor

ChainCatcher balita, natukoy ng Scam Sniffer ang isa pang insidente ng pag-atake sa NPM supply chain, kung saan ang @ctrl/tinycolor (may 2.2 milyong lingguhang downloads) ay naglabas ng malisyosong bersyon. Ang bersyong ito ay nagpapatakbo ng isang information-stealing program kapag isinagawa ang postinstall script ng npm, upang i-scan at nakawin ang sensitibong data.

Ang malisyosong payload na ito ay inabuso ang lehitimong sensitibong impormasyon scanning tool na TruffleHog. Mangyaring suriin kung na-download mo ang apektadong bersyon, itigil muna ang pag-install/pag-update, at i-lock ang bersyon sa isang kilalang ligtas na bersyon.