又一起 NPM 供应链攻击发生了！ 名为 @ctrl/tinycolor 的包（每周下载量达 220 万次）发布了恶意版本，这些版本在 npm postinstall 过程中执行信息窃取程序，用于搜索并窃取敏感信息。恶意负载利用了 TruffleHog，这是一款合法的秘密扫描工具。 请务必检查是否安装了受影响的版本，立即停止任何正在进行的安装或更新，并回滚到已知安全的版本。