针对 NPM 供应链的攻击事件再次发生
ChainCatcher 消息,Scam Sniffer 监测到又一起针对 NPM 供应链的攻击事件,@ctrl/tinycolor(每周下载量达 220 万次)发布了恶意版本,该版本会在 npm 执行 postinstall(安装后)脚本时运行信息窃取程序,以扫描并窃取敏感数据。
此恶意载荷滥用了合法的敏感信息扫描工具 TruffleHog。请检查是否下载了受影响的版本,暂停安装/更新操作,并将版本固定为已知安全的版本。
风险提示
关联标签
链捕手ChainCatcher提醒,请广大读者理性看待区块链,切实提高风险意识,警惕各类虚拟代币发行与炒作, 站内所有内容仅系市场信息或相关方观点,不构成任何形式投资建议。如发现站内内容含敏感信息,可点击“举报”,我们会及时处理。
关联标签
