NPM 공급망 공격 사건이 다시 발생했습니다

ChainCatcher 메시지, Scam Sniffer가 NPM 공급망을 겨냥한 또 다른 공격 사건을 모니터링했습니다. @ctrl/tinycolor(주간 다운로드 수 220만 회)가 악성 버전을 배포했으며, 이 버전은 npm의 postinstall(설치 후) 스크립트 실행 시 정보 탈취 프로그램을 실행하여 민감한 데이터를 스캔하고 탈취합니다.

이 악성 페이로드는 합법적인 민감 정보 스캔 도구인 TruffleHog를 남용했습니다. 영향을 받은 버전을 다운로드했는지 확인하고, 설치/업데이트 작업을 중단하며, 버전을 알려진 안전한 버전으로 고정하십시오.