npm热门包@ctrl/tinycolor遭恶意更新引发大规模供应链攻击
npm热门包@ctrl/tinycolor(周下载量220万次)于9月16日遭恶意更新,触发影响超40个下游包的供应链攻击事件。受污染版本涵盖angulartics2@14.1.2、@ctrl/tinycolor@4.1.1/4.1.2维护版本及ngx-color@10.0.2等组件。安全团队建议立即执行三项应急措施:卸载或锁定至安全版本、全面审计部署环境、强制轮换npm令牌与暴露凭证。
版权声明:如发现本站有涉嫌抄袭侵权/违法违规的内容请联系客服!