⚠️⚠️NPM пакет "@ctrl/tinycolor" с 2,2 миллиона загрузок за неделю подвергся атаке на цепочку поставок, содержащей вредоносный шпион для кражи информации По предупреждению Scam Sniffer @realScamSniffer, NPM пакет "@ctrl/tinycolor" с 2,2 миллиона загрузок за неделю был внедрен в вредоносную версию, которая запускает шпион для кражи информации в процессе npm postinstall, используя легитимный инструмент TruffleHog для сканирования и утечки конфиденциальных данных. В настоящее время это затронуло около 40 связанных зависимостей. Пользователям следует немедленно проверить, установлена ли у них затронутая версия, приостановить обновления и зафиксировать безопасную версию.