⚠️⚠️ Il pacchetto NPM "@ctrl/tinycolor" con 2,2 milioni di download settimanali ha subito un attacco alla supply chain, contenente un malware per il furto di informazioni. Secondo l'avviso di Scam Sniffer @realScamSniffer, il pacchetto NPM "@ctrl/tinycolor" con 2,2 milioni di download settimanali è stato infettato da una versione malevola, che esegue un malware per il furto di informazioni durante il processo di postinstallazione di npm, utilizzando lo strumento legittimo TruffleHog per scansionare e divulgare dati sensibili. Attualmente, circa 40 pacchetti dipendenti sono stati colpiti. Gli utenti dovrebbero controllare immediatamente se hanno installato versioni compromesse, sospendere gli aggiornamenti e bloccare le versioni sicure.