Атака на ланцюг постачання NPM знову сталася, @ctrl/tinycolor випустив шкідливу версію

Chaincatcher2025/09/16 01:35

Переглянути оригінал

ChainCatcher повідомляє, що Scam Sniffer виявив ще одну атаку на ланцюг постачання NPM: @ctrl/tinycolor (щотижнева кількість завантажень досягає 2.2 мільйона) випустив шкідливу версію, яка під час виконання postinstall (після встановлення) скрипту в npm запускає програму для крадіжки інформації з метою сканування та викрадення конфіденційних даних.

Цей шкідливий код зловживає легальним інструментом для сканування конфіденційної інформації TruffleHog. Будь ласка, перевірте, чи не завантажили ви уражену версію, призупиніть встановлення/оновлення та зафіксуйте версію на відомо безпечній.

Відмова від відповідальності: зміст цієї статті відображає виключно думку автора і не представляє платформу в будь-якій якості. Ця стаття не повинна бути орієнтиром під час прийняття інвестиційних рішень.

PoolX: Заробляйте за стейкінг

До понад 10% APR. Що більше монет у стейкінгу, то більший ваш заробіток.

Надіслати токени у стейкінг!