⚠️⚠️ NPM pakiet „@ctrl/tinycolor” z 2,2 miliona pobrań w tygodniu padł ofiarą ataku na łańcuch dostaw, zawiera złośliwego program do kradzieży informacji. Według ostrzeżenia Scam Sniffer @realScamSniffer, NPM pakiet „@ctrl/tinycolor” z 2,2 miliona pobrań w tygodniu został zainfekowany złośliwą wersją, która uruchamia program do kradzieży informacji w procesie npm postinstall, wykorzystując legalne narzędzie TruffleHog do skanowania i wycieków danych wrażliwych. Obecnie dotknęło to około 40 powiązanych pakietów zależności. Użytkownicy powinni natychmiast sprawdzić, czy zainstalowali dotkniętą wersję, wstrzymać aktualizacje i zablokować bezpieczną wersję.