Atak na łańcuch dostaw NPM ponownie miał miejsce, @ctrl/tinycolor opublikował złośliwą wersję

ChainCatcher donosi, że Scam Sniffer wykrył kolejny atak na łańcuch dostaw NPM. Złośliwa wersja pakietu @ctrl/tinycolor (z tygodniową liczbą pobrań sięgającą 2.2 miliona) została opublikowana i uruchamia program kradnący informacje podczas wykonywania przez npm skryptu postinstall (po instalacji), aby skanować i wykradać wrażliwe dane.

To złośliwe oprogramowanie wykorzystuje legalne narzędzie do skanowania wrażliwych informacji TruffleHog. Prosimy sprawdzić, czy pobrano zainfekowaną wersję, wstrzymać instalację/aktualizację oraz ustawić wersję na znaną jako bezpieczną.