針對 NPM 供應鏈的攻擊事件再次發生,@ctrl/tinycolor 發佈惡意版本
2025-09-16 09:31:56
分享至 
ChainCatcher 消息,Scam Sniffer 監測到又一起針對 NPM 供應鏈的攻擊事件,@ctrl/tinycolor(每週下載量達 220 萬次)發布了惡意版本,該版本會在 npm 執行 postinstall(安裝後)腳本時運行信息竊取程序,以掃描並竊取敏感數據。
此惡意載荷濫用了合法的敏感信息掃描工具 TruffleHog。請檢查是否下載了受影響的版本,暫停安裝/更新操作,並將版本固定為已知安全的版本。
最新快訊
數據:若 ETH 突破 4,685 美元,主流 CEX 累計空單清算強度將達 10.5 億美元
ChainCatcher
2025-09-22 02:03:25
數據:若 BTC 突破 120,615 美元,主流 CEX 累計空單清算強度將達 10.71 億美元
ChainCatcher
2025-09-22 02:03:23
數據:ETH 當前全網 8 小時平均資金費率為 0.0055%
ChainCatcher
2025-09-22 00:17:04
數據:BTC 當前全網 8 小時平均資金費率為 0.0038%
ChainCatcher
2025-09-22 00:17:02
數據:今日鏈上資金流向,以太坊淨流入 3720 萬美元,Base 淨流出 5340 萬美元
ChainCatcher
2025-09-22 00:02:45
