熱門 npm 包 Tinycolor 遭供應鏈攻擊,超 40 個包受影響
深潮 TechFLOW 消息,9 月 16 日,據 Socket Research Team 披露,熱門 npm 包 @ctrl/tinycolor(週下載量 220 萬次)遭惡意更新,成為影響超 40 個包的大規模供應鏈攻擊的一部分。
受影響的包包括 angulartics2@14.1.2、@ctrl/tinycolor@4.1.1/4.1.2、ngx-color@10.0.2 等 40 多個包。 Socket 建議用戶立即卸載或固定至已知安全版本,審核安裝了受影響版本的環境,輪換 npm 令牌和其他暴露的密鑰
