TechFlowの報道によると、9月16日、Socket Research Teamの発表により、人気npmパッケージである@ctrl/tinycolor(週間ダウンロード回数220万回)が悪意ある更新を受け、40以上のパッケージに影響を与える大規模なサプライチェーン攻撃の一部であることが明らかになった。
影響を受けるパッケージには、[email protected]、@ctrl/[email protected]/4.1.2、[email protected]など40以上のパッケージが含まれる。Socketは、ユーザーに対し直ちに該当パッケージのアンインストールまたは既知の安全なバージョンへの固定を行い、影響を受けるバージョンが導入された環境を審査し、npmトークンおよび他の露出したキーを交換するよう勧告している。




