优惠论坛

标题: 针对 NPM 供应链的攻击事件再次发生 [打印本页]

作者: 比推快讯 时间: 2025-9-16 09:47
比推消息，Scam Sniffer 监测到又一起针对 NPM 供应链的攻击事件，@ctrl/tinycolor（每周下载量达 220 万次）发布了恶意版本，该版本会在 npm 执行 postinstall（安装后）脚本时运行信息窃取程序，以扫描并窃取敏感数据。
此恶意载荷滥用了合法的敏感信息扫描工具 TruffleHog。请检查是否下载了受影响的版本，暂停安装/更新操作，并将版本固定为已知安全的版本。

风险提示：本新闻涉及的内容仅供参考，不构成投资建议。依据发布的信息以及所表达的意见行事所造成的一切后果由行事者自负。文章链接

欢迎光临优惠论坛 (http://tcelue.ooo/)