PANews 9月16日消息，Scam Sniffer监测到又一起针对NPM供应链的攻击事件，@ctrl/tinycolor（每周下载量达220万次）发布了恶意版本，该版本会在npm执行postinstall（安装后）脚本时运行信息窃取程序，以扫描并窃取敏感数据。此恶意载荷滥用了合法的敏感信息扫描工具TruffleHog。请检查是否下载了受影响的版本，暂停安装/更新操作，并将版本固定为已知安全的版本。