🚨 另一起 NPM 供应链攻击 `@ctrl/tinycolor`（每周下载量 220 万）发布了恶意版本，在 npm postinstall 期间运行信息窃取程序，以扫描和外泄敏感数据。该有效载荷利用了 TruffleHog，一个合法的秘密扫描工具。 检查您是否拉取了受影响的版本，暂停安装/更新，并固定到已知良好的版本。 来源：