Socket Research Team于9月16日披露,热门npm包@ctrl/tinycolor(周下载量220万次)因恶意更新引发大规模供应链攻击,影响超40个包。受影响包涵盖angulartics2@14.1.2、@ctrl/tinycolor@4.1.1/4.1.2、ngx-color@10.0.2等40余款。Socket强烈建议用户立即卸载或锁定至已知安全版本,全面审查受影响环境,并轮换npm令牌及其他暴露密钥。
npm包@ctrl/tinycolor遭恶意更新引发大规模供应链攻击
2025-09-16 10:00:39
13
相关文章
- SlowMist称BigONE交易所遭供应链攻击,损失超2700万美元
- BTC价格波动引发主流CEX大规模清算预测
- Solana生态供应链攻击事件分析:恶意开源项目窃取私钥
- 链上平台监测新钱包大规模转出ETH和WLD
- 黑客利用以太坊智能合约实施新型npm包攻击
- npm软件包遭恶意代码注入 Scam Sniffer与Ledger联合预警
- Binance创始人CZ谈npm供应链安全事件:Web3将重塑安全范式
- 币安钱包确认供应链攻击未影响系统安全
- Ledger CTO披露npm供应链攻击事件:钓鱼邮件植入恶意代码,区块链交易遭劫持
- MYX代币空投遭遇史上最大规模女巫攻击,单一实体非法获取1.7亿美元代币
- 门罗币网络再遭攻击:18个区块重组引发安全警示
- npm包@ctrl/tinycolor遭恶意更新引发大规模供应链攻击