針對 NPM 供應鏈的攻擊事件再次發生,@ctrl/tinycolor 發佈惡意版本
2025-09-16 09:31:56
分享至 
ChainCatcher 消息,Scam Sniffer 監測到又一起針對 NPM 供應鏈的攻擊事件,@ctrl/tinycolor(每週下載量達 220 萬次)發布了惡意版本,該版本會在 npm 執行 postinstall(安裝後)腳本時運行信息竊取程序,以掃描並竊取敏感數據。
此惡意載荷濫用了合法的敏感信息掃描工具 TruffleHog。請檢查是否下載了受影響的版本,暫停安裝/更新操作,並將版本固定為已知安全的版本。
最新快訊
此前在 ETH 和 BTC 上虧損超 4300 萬美元的巨鯨平掉其 ASTER 多倉,獲利 42 萬美元
ChainCatcher
2025-09-22 17:26:53
某鯨魚向 Bitget 轉入 450 枚 BTC,價值約 50,691,241 美元
ChainCatcher
2025-09-22 17:26:43
PancakeSwap 將跨鏈交換功能擴展至 Solana
ChainCatcher
2025-09-22 17:11:53
Meteora 負責人預告“下週會有大事”,或暗示 MET 的 TGE 時間
ChainCatcher
2025-09-22 17:08:46
USDC Treasury 在 Solana 鏈上新增鑄造 2.5 億枚 USDC
ChainCatcher
2025-09-22 17:04:52
