Eine neue Attacke auf die NPM-Lieferkette wurde identifiziert, bei der das beliebte Paket @ctrl/tinycolor beteiligt ist, das wöchentlich 2,2 Millionen Mal heruntergeladen wird. Die bösartige Version enthält einen Informationsdiebstahl, der während des postinstall-Skripts von npm aktiviert wird und TruffleHog verwendet, um sensible Daten zu scannen und zu exfiltrieren. Nutzern wird geraten, ihre Installationen zu überprüfen, Updates zu stoppen und auf eine sichere Version zurückzukehren, um Risiken zu minimieren.
Bösartige Version von @ctrl/tinycolor bei NPM-Lieferkettenangriff entdeckt
Haftungsausschluss: Die auf Phemex News bereitgestellten Inhalte dienen nur zu Informationszwecken.Wir garantieren nicht die Qualität, Genauigkeit oder Vollständigkeit der Informationen aus Drittquellen.Die Inhalte auf dieser Seite stellen keine Finanz- oder Anlageberatung dar.Wir empfehlen dringend, eigene Recherchen durchzuführen und einen qualifizierten Finanzberater zu konsultieren, bevor Sie Anlageentscheidungen treffen.