NPM Arz Ağı'na yönelik saldırı olayları tekrar meydana geldi, @ctrl/tinycolor kötü niyetli bir versiyon yayınladı.

PANews 16 Eylül'de, Scam Sniffer'in NPM Arz Ağı'na yönelik bir saldırı olayını daha tespit ettiği bildirildi. @ctrl/tinycolor (haftalık indirme sayısı 2.2 milyon) kötü niyetli bir versiyon yayınladı. Bu versiyon, npm'in postinstall (kurulum sonrası) betiğini çalıştırdığında, bilgileri çalmak için bir program çalıştırarak hassas verileri tarar ve çalar. Bu kötü niyetli yük, TruffleHog adlı yasal hassas bilgi tarama aracını kötüye kullandı. Lütfen etkilenen versiyonu indirip indirmediğinizi kontrol edin, kurulum/güncelleme işlemini durdurun ve versiyonu bilinen güvenli bir versiyonla sabitleyin.