Se ha identificado un nuevo ataque en la cadena de suministro de NPM, que involucra al popular paquete @ctrl/tinycolor, que se descarga 2.2 millones de veces semanalmente. La versión maliciosa incluye un ladrón de información que se activa durante el script postinstalación de npm, utilizando TruffleHog para escanear y exfiltrar datos sensibles. Se recomienda a los usuarios verificar sus instalaciones, detener las actualizaciones y revertir a una versión segura para mitigar los riesgos.
Versión maliciosa de @ctrl/tinycolor detectada en ataque a la cadena de suministro de NPM
Aviso legal: El contenido de Phemex News es únicamente informativo.No garantizamos la calidad, precisión ni integridad de la información procedente de artículos de terceros.El contenido de esta página no constituye asesoramiento financiero ni de inversión.Le recomendamos encarecidamente que realice su propia investigación y consulte con un asesor financiero cualificado antes de tomar cualquier decisión de inversión.