Socket Research Team于9月16日报告,热门npm包@ctrl/tinycolor(周下载量220万次)遭受恶意更新,引发影响超过40个包的大规模供应链攻击。受影响的包涵盖angulartics2@14.1.2、@ctrl/tinycolor@4.1.1/4.1.2、ngx-color@10.0.2等40多个包。Socket建议用户立即采取措施,包括卸载受影响版本、锁定至安全版本、审查相关环境,并轮换npm令牌及其他暴露的密钥。
