Une nouvelle attaque sur la chaîne d'approvisionnement NPM a été identifiée, impliquant le populaire paquet @ctrl/tinycolor, qui est téléchargé 2,2 millions de fois par semaine. La version malveillante inclut un voleur d'informations qui s'active lors du script postinstall de npm, utilisant TruffleHog pour scanner et exfiltrer des données sensibles. Il est conseillé aux utilisateurs de vérifier leurs installations, d'arrêter les mises à jour et de revenir à une version sécurisée pour atténuer les risques.
Version malveillante de @ctrl/tinycolor détectée dans une attaque de la chaîne d'approvisionnement NPM
Avertissement : Le contenu proposé sur Phemex News est à titre informatif uniquement. Nous ne garantissons pas la qualité, l'exactitude ou l'exhaustivité des informations provenant d'articles tiers. Ce contenu ne constitue pas un conseil financier ou d'investissement. Nous vous recommandons vivement d'effectuer vos propres recherches et de consulter un conseiller financier qualifié avant toute décision d'investissement.