🚨 另一起 NPM 供應鏈攻擊 `@ctrl/tinycolor`（每週下載量 220 萬）發佈了惡意版本，在 npm postinstall 期間運行信息竊取程序，以掃描和外泄敏感數據。該有效載荷利用了 TruffleHog，一個合法的秘密掃描工具。 檢查您是否拉取了受影響的版本，暫停安裝/更新，並固定到已知良好的版本。 來源：