NPM サプライチェーンへの攻撃事件が再び発生し、@ctrl/tinycolor が悪意のあるバージョンを公開しました。

ChainCatcher のメッセージ、Scam Sniffer が NPM サプライチェーンに対する新たな攻撃事件を検出しました。@ctrl/tinycolor（週間ダウンロード数 220 万回）が悪意のあるバージョンをリリースしました。このバージョンは、npm が postinstall（インストール後）スクリプトを実行する際に情報窃取プログラムを実行し、敏感なデータをスキャンして盗みます。

この悪意のあるペイロードは、合法的な敏感情報スキャンツール TruffleHog を悪用しました。影響を受けたバージョンをダウンロードしたかどうかを確認し、インストール/更新操作を一時停止し、バージョンを既知の安全なバージョンに固定してください。