NPM ta'minot zanjiriga hujum yana takrorlandi, @ctrl/tinycolor zararli versiyasini chiqardi

ChainCatcher xabariga ko‘ra, Scam Sniffer yana bir NPM ta’minot zanjiriga qilingan hujumni aniqladi, @ctrl/tinycolor (haftasiga 2.2 million marta yuklab olinadi) zararli versiyasini chiqardi. Ushbu versiya npm postinstall (o‘rnatishdan keyingi) skriptini ishga tushirganda ma’lumot o‘g‘irlaydigan dastur ishga tushadi va maxfiy ma’lumotlarni skaner qilib, o‘g‘irlaydi.

Ushbu zararli yuklama qonuniy TruffleHog maxfiy ma’lumotlarni skanerlash vositasidan noto‘g‘ri foydalangan. Ta’sirlangan versiyani yuklab olganmisiz, tekshirib ko‘ring, o‘rnatish/yangi versiyaga yangilashni to‘xtating va versiyani xavfsiz deb ma’lum bo‘lgan versiyaga mahkamlab qo‘ying.