針對 NPM 供應鏈的攻擊事件再次發生，@ctrl/tinycolor 發布惡意版本

ChainCatcher 消息，Scam Sniffer 監測到又一起針對 NPM 供應鏈的攻擊事件，@ctrl/tinycolor（每週下載量達 220 萬次）發布了惡意版本，該版本會在 npm 執行 postinstall（安裝後）腳本時運行資訊竊取程式，以掃描並竊取敏感資料。

此惡意載荷濫用了合法的敏感資訊掃描工具 TruffleHog。請檢查是否下載了受影響的版本，暫停安裝/更新操作，並將版本固定為已知安全的版本。