NPMサプライチェーンへの攻撃が再発、@ctrl/tinycolorが悪意のあるバージョンを公開

Chaincatcher2025/09/16 01:35

原文を表示

ChainCatcherの報道によると、Scam Snifferは再びNPMサプライチェーンを標的とした攻撃事件を検知しました。@ctrl/tinycolor（週あたりのダウンロード数は220万回）が悪意のあるバージョンをリリースし、このバージョンはnpmのpostinstall（インストール後）スクリプト実行時に情報窃取プログラムを起動し、機密データをスキャンして盗み取ります。

この悪意のあるペイロードは、正規の機密情報スキャンツールであるTruffleHogを悪用しています。影響を受けるバージョンをダウンロードしていないか確認し、インストールやアップデートの操作を一時停止し、バージョンを既知の安全なものに固定してください。

免責事項：本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。

PoolX: 資産をロックして新しいトークンをゲット

最大12%のAPR！エアドロップを継続的に獲得しましょう！

今すぐロック