Sự cố tấn công chuỗi cung ứng NPM lại xảy ra, @ctrl/tinycolor phát hành phiên bản độc hại

Chaincatcher2025/09/16 01:35

Hiển thị bản gốc

Theo ChainCatcher, Scam Sniffer đã phát hiện một cuộc tấn công mới nhắm vào chuỗi cung ứng NPM, @ctrl/tinycolor (với số lượt tải về hàng tuần đạt 2.2 triệu) đã phát hành một phiên bản độc hại. Phiên bản này sẽ chạy chương trình đánh cắp thông tin khi npm thực hiện script postinstall (sau khi cài đặt), nhằm quét và đánh cắp dữ liệu nhạy cảm.

Tải trọng độc hại này đã lợi dụng công cụ quét thông tin nhạy cảm hợp pháp là TruffleHog. Vui lòng kiểm tra xem bạn có tải về phiên bản bị ảnh hưởng hay không, tạm dừng thao tác cài đặt/cập nhật và cố định phiên bản ở phiên bản đã biết là an toàn.

Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.

PoolX: Khóa để nhận token mới.

APR lên đến 12%. Luôn hoạt động, luôn nhận airdrop.

Khóa ngay!