NPM サプライチェーンへの攻撃事件が再び発生しました。

ChainCatcher のメッセージ、Scam Sniffer が NPM サプライチェーンに対する新たな攻撃事件を検知しました。@ctrl/tinycolor（週のダウンロード数は 220 万回）から悪意のあるバージョンがリリースされました。このバージョンは、npm が postinstall（インストール後）スクリプトを実行する際に情報窃取プログラムを実行し、敏感なデータをスキャンして盗むものです。

この悪意のあるペイロードは、正当な敏感情報スキャンツール TruffleHog を悪用しています。影響を受けたバージョンをダウンロードしたかどうかを確認し、インストール/更新操作を一時停止し、バージョンを既知の安全なバージョンに固定してください。