⚠️⚠️ 週に220万ダウンロードされているNPMパッケージ「@ctrl/tinycolor」がサプライチェーンに攻撃され、悪意のある情報窃取ツールが含まれています Scam Sniffer @realScamSnifferによると、毎週220万ダウンロードされるNPMパッケージ「@ctrl/tinycolor」に悪意のあるバージョンが埋め込まれ、npmのポストインストールプロセス中にインフォスティーラーを実行し、正規のツールTruffleHogを使用して機密データをスキャンして漏洩させています。 これまでに約 40 の関連する依存関係が影響を受けています。 ユーザーは、影響を受けるバージョンのインストールを直ちに確認し、更新を一時停止し、安全なバージョンをロックする必要があります。