NPM供应链遭恶意攻击，@ctrl/tinycolor发布窃取数据版本

Scam Sniffer发现NPM供应链再度遭遇攻击，热门库@ctrl/tinycolor（每周下载量达220万次）被发布了恶意版本。该版本在 npm 执行 postinstall 脚本时运行信息窃取程序，利用合法工具 TruffleHog 扫描并窃取敏感数据。用户需立即检查是否下载受影响版本，暂停相关安装或更新操作，并将版本锁定为已知安全版本，以防数据泄露风险。