PANewsは9月16日、Scam SnifferがNPMサプライチェーンを標的とした新たな攻撃を検出したと報じました。@ctrl/tinycolor（週220万回ダウンロード）は、npmのインストール後スクリプト中に情報窃取ツールを実行し、機密データをスキャンして窃取する悪意のあるバージョンをリリースしました。この悪意のあるペイロードは、正規の機密情報スキャンツールであるTruffleHogを悪用しています。影響を受けるバージョンをダウンロードしていないか確認し、インストール／アップデートを一時停止し、安全であることが確認されているバージョンに固定してください。