Serangan terhadap rantai pasokan NPM kembali terjadi, @ctrl/tinycolor merilis versi berbahaya

ChainCatcher melaporkan bahwa Scam Sniffer telah mendeteksi serangan lain yang menargetkan rantai pasokan NPM. @ctrl/tinycolor (dengan jumlah unduhan mingguan mencapai 2,2 juta kali) telah merilis versi berbahaya, di mana versi ini akan menjalankan program pencuri informasi saat npm mengeksekusi skrip postinstall (setelah instalasi), untuk memindai dan mencuri data sensitif.

Payload berbahaya ini menyalahgunakan alat pemindai informasi sensitif yang sah, TruffleHog. Harap periksa apakah Anda telah mengunduh versi yang terpengaruh, hentikan sementara proses instalasi/pembaruan, dan tetapkan versi ke versi yang diketahui aman.