🚨 Еще одна атака на цепочку поставок NPM `@ctrl/tinycolor` (2,2M загрузок в неделю) выпустил вредоносные версии, которые запускают инфостилер во время npm postinstall для сканирования и эксфильтрации конфиденциальных данных. Пayload использует TruffleHog, легитимный сканер секретов. Проверьте, загрузили ли вы затронутые версии, приостановите установки/обновления и зафиксируйте на известных хороших релизах. Источник: