TechFlow, le 16 septembre, selon Socket Research Team, le populaire paquet npm @ctrl/tinycolor (2,2 millions de téléchargements hebdomadaires) a été mis à jour de manière malveillante, devenant ainsi partie intégrante d'une attaque de grande ampleur sur la chaîne d'approvisionnement affectant plus de 40 paquets.
Les paquets concernés incluent angulartics2@14.1.2, @ctrl/tinycolor@4.1.1/4.1.2, ngx-color@10.0.2 et plus de 40 autres. Socket recommande aux utilisateurs de désinstaller immédiatement ces paquets ou de les verrouiller sur des versions connues comme sûres, d'auditer les environnements où des versions affectées ont été installées, et de renouveler les jetons npm ainsi que toute autre clé exposée.
Ajouter aux favoris
Partager sur les réseaux sociaux
