Một cuộc tấn công mới vào chuỗi cung ứng NPM đã được phát hiện, liên quan đến gói phổ biến @ctrl/tinycolor, được tải xuống 2,2 triệu lần mỗi tuần. Phiên bản độc hại bao gồm một phần mềm đánh cắp thông tin kích hoạt trong quá trình chạy script postinstall của npm, sử dụng TruffleHog để quét và trích xuất dữ liệu nhạy cảm. Người dùng được khuyến cáo kiểm tra cài đặt của mình, tạm dừng cập nhật và quay lại phiên bản an toàn để giảm thiểu rủi ro.
Phát hiện phiên bản độc hại của @ctrl/tinycolor trong cuộc tấn công chuỗi cung ứng NPM
Tuyên bố miễn trừ trách nhiệm: Nội dung được cung cấp trên Phemex News chỉ nhằm mục đích cung cấp thông tin.Chúng tôi không đảm bảo chất lượng, độ chính xác hoặc tính đầy đủ của thông tin có nguồn từ các bài viết của bên thứ ba.Nội dung trên trang này không cấu thành lời khuyên về tài chính hoặc đầu tư.Chúng tôi đặc biệt khuyến khích bạn tự tiến hành nghiên cứu và tham khảo ý kiến của cố vấn tài chính đủ tiêu chuẩn trước khi đưa ra bất kỳ quyết định đầu tư nào.