深潮 TechFlow 消息,9 月 16 日,据 Socket Research Team 披露,热门 npm 包 @ctrl/tinycolor(周下载量 220 万次)遭恶意更新,成为影响超 40 个包的大规模供应链攻击的一部分。
受影响的包包括 angulartics2@14.1.2、@ctrl/tinycolor@4.1.1/4.1.2、ngx-color@10.0.2 等 40 多个包。Socket 建议用户立即卸载或固定至已知安全版本,审核安装了受影响版本的环境,轮换 npm 令牌和其他暴露的密钥