針對 NPM 供應鏈的攻擊事件再次發生,@ctrl/tinycolor 發佈惡意版本
2025-09-16 09:31:56
分享至 
ChainCatcher 消息,Scam Sniffer 監測到又一起針對 NPM 供應鏈的攻擊事件,@ctrl/tinycolor(每週下載量達 220 萬次)發布了惡意版本,該版本會在 npm 執行 postinstall(安裝後)腳本時運行信息竊取程序,以掃描並竊取敏感數據。
此惡意載荷濫用了合法的敏感信息掃描工具 TruffleHog。請檢查是否下載了受影響的版本,暫停安裝/更新操作,並將版本固定為已知安全的版本。
最新快訊
Meghan Robson:美聯儲將優先考慮增長,可能導致經濟“過熱”
ChainCatcher
2025-09-18 04:20:55
畢馬威:美聯儲延續目前政策至明年或致過度刺激
ChainCatcher
2025-09-18 04:20:43
三菱日聯:美聯儲未進入降息衝刺模式
ChainCatcher
2025-09-18 04:14:52
Scott Kimball:美聯儲對通脹預期提高至 2.6%,政策或更寬鬆
ChainCatcher
2025-09-18 04:14:41
道瓊斯指數收盤上漲 260.42 點,標普 500 和納指下跌
ChainCatcher
2025-09-18 04:04:44
