2025-09-16 09:40
0
针对NPM供应链的攻击事件再次发生,@ctrl/tinycolor发布恶意版本
摘要
神经日报 9月16日消息,Scam Sniffer监测到又一起针对NPM供应链的攻击事件,@ctrl/tinycolor(每周下载量达220万次)发布了恶意版本,该版本会在npm执行postinstall(安装后)脚本时运行信息窃取程序,以扫描并窃取敏感数据。此恶意载荷滥用了合法的敏感信息扫描工具TruffleHog。请检查是否下载了受影响的版本,暂停安装/更新操作,并将版本固定为已知安全的版本。
神经日报 9月16日消息,Scam Sniffer监测到又一起针对NPM供应链的攻击事件,@Ctrl/tinycoLor(每周下载量达220万次)发布了恶意版本,该版本会在npm执行pOSTinSTALL(安装后)脚本时运行信息窃取程序,以扫描并窃取敏感数据。此恶意载荷滥用了合法的敏感信息扫描工具TRuffleHog。请检查是否下载了受影响的版本,暂停安装/更新操作,并将版本固定为已知安全的版本。
声明:文章不代表神经日报观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险自担!当前页面地址:https://www.nervedaily.com/kuaixun/143933.html
