PANews 9月16日のニュースによると、Scam SnifferはNPMサプライチェーンに対する新たな攻撃事件を監視しました。@ctrl/tinycolor(週間ダウンロード数220万回)から悪意のあるバージョンがリリースされ、このバージョンはnpmのpostinstall(インストール後)スクリプト実行時に情報窃取プログラムを起動し、敏感なデータをスキャンして窃取します。この悪意のあるペイロードは、合法的な敏感情報スキャンツールTruffleHogを悪用しました。影響を受けたバージョンをダウンロードしたか確認し、インストール/更新操作を一時停止し、バージョンを既知の安全なバージョンに固定してください。
8.8K 人気度
25.4K 人気度
30.2K 人気度
37.1K 人気度
3.6K 人気度
NPMサプライチェーンの攻撃事件が再び発生し、@ctrl/tinycolorが悪意のあるバージョンを公開しました。
PANews 9月16日のニュースによると、Scam SnifferはNPMサプライチェーンに対する新たな攻撃事件を監視しました。@ctrl/tinycolor(週間ダウンロード数220万回)から悪意のあるバージョンがリリースされ、このバージョンはnpmのpostinstall(インストール後)スクリプト実行時に情報窃取プログラムを起動し、敏感なデータをスキャンして窃取します。この悪意のあるペイロードは、合法的な敏感情報スキャンツールTruffleHogを悪用しました。影響を受けたバージョンをダウンロードしたか確認し、インストール/更新操作を一時停止し、バージョンを既知の安全なバージョンに固定してください。