Foi identificado um novo ataque à cadeia de suprimentos do NPM, envolvendo o popular pacote @ctrl/tinycolor, que é baixado 2,2 milhões de vezes por semana. A versão maliciosa inclui um ladrão de informações que é ativado durante o script postinstall do npm, utilizando o TruffleHog para escanear e exfiltrar dados sensíveis. Os usuários são aconselhados a verificar suas instalações, interromper atualizações e reverter para uma versão segura para mitigar os riscos.
Versão Maliciosa do @ctrl/tinycolor Detectada em Ataque à Cadeia de Suprimentos do NPM
Aviso Legal: O conteúdo disponibilizado no Phemex News é apenas para fins informativos. Não garantimos a qualidade, precisão ou integridade das informações provenientes de artigos de terceiros. Este conteúdo não constitui aconselhamento financeiro ou de investimento. Recomendamos fortemente que você realize suas próprias pesquisas e consulte um consultor financeiro qualificado antes de tomar decisões de investimento.