针对NPM供应链的攻击事件再次发生,@ctrl/tinycolor发布恶意版本
Gate News bot
PANews 9月16日消息,Scam Sniffer监测到又一起针对NPM供应链的攻击事件,@ctrl/tinycolor(每周下载量达220万次)发布了恶意版本,该版本会在npm执行postinstall(安装后)脚本时运行信息窃取程序,以扫描并窃取敏感数据。此恶意载荷滥用了合法的敏感信息扫描工具TruffleHog。请检查是否下载了受影响的版本,暂停安装/更新操作,并将版本固定为已知安全的版本。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见声明。
评论
0/400
暂无评论