針對 NPM 供應鏈的攻擊事件再次發生,@ctrl/tinycolor 發佈惡意版本
2025-09-16 09:31:56
分享至 
ChainCatcher 消息,Scam Sniffer 監測到又一起針對 NPM 供應鏈的攻擊事件,@ctrl/tinycolor(每週下載量達 220 萬次)發布了惡意版本,該版本會在 npm 執行 postinstall(安裝後)腳本時運行信息竊取程序,以掃描並竊取敏感數據。
此惡意載荷濫用了合法的敏感信息掃描工具 TruffleHog。請檢查是否下載了受影響的版本,暫停安裝/更新操作,並將版本固定為已知安全的版本。
最新快訊
數據:過去 24h Binance 淨流入 1.61 億 USDT
ChainCatcher
2025-10-18 17:38:03
美 SEC 主席:美國在加密領域已落後十年,為吸引創新建立監管框架是首要任務
ChainCatcher
2025-10-18 17:22:59
Aster 更新 Stage 3 交易積分規則:現貨和永續合約交易量均包括在內
ChainCatcher
2025-10-18 17:15:41
新錢包從幣安提取 74.4 萬枚 LINK,價值 1,244 萬美元
ChainCatcher
2025-10-18 16:53:47
特朗普次子:從未與父親討論加密貨幣,但他堅信區塊鏈是金融的未來
ChainCatcher
2025-10-18 16:42:27
