周下载量220万次的NPM包「@ctrl/tinycolor」遭供应链攻击,含恶意信息窃取器
来源: 91币圈网
发布时间:2025-09-16
本站消息,9 月 16 日,据 Scam Sniffer 警告,周下载量 220 万的 NPM 包「@ctrl/tinycolor」被植入恶意版本,在 npm postinstall 过程中运行信息窃取器,利用合法工具 TruffleHog 扫描并外泄敏感数据。目前已波及约 40 个相关依赖包。用户应立即检查是否安装受影响版本,暂停更新,并锁定安全版本。
相关阅读
英国搁置钢铁对美零关税配额计划,转谈「永久性25%关税」
本站消息,9 月 16 日,据英国《金融时报》报道,英国首相...
2025-09-16
Justin Sun将于今日20时出席「SunPerp:DEX2.0时代的无边想象」主题直播
本站消息,9 月 19 日,据官方消息,火币直播将于今日 2...
2025-09-19
深度观察
