Wu'nun bildirdiğine göre, Scam Sniffer, NPM Arz Ağı'na yönelik bir başka saldırı olayı tespit etti. @ctrl/tinycolor (haftalık indirme sayısı 2,2 milyon) kötü amaçlı bir sürüm yayınladı. Bu sürüm, npm'in postinstall (kurulum sonrası) scriptini çalıştırırken bilgi hırsızlığı programını çalıştırarak hassas verileri tarayıp çalmaktadır. Bu kötü amaçlı yük, TruffleHog adındaki yasal hassas bilgi tarama aracını kötüye kullandı. Etkilenmiş sürümü indirip indirmediğinizi kontrol edin, yükleme/güncelleme işlemini durdurun ve sürümü bilinen güvenli bir sürümle sabitleyin.