TechFlowの報道によると、9月16日、Socket Research Teamの発表により、人気npmパッケージである@ctrl/tinycolor(週間ダウンロード回数220万回)が悪意ある更新を受け、40以上のパッケージに影響を与える大規模なサプライチェーン攻撃の一部であることが明らかになった。
影響を受けるパッケージには、angulartics2@14.1.2、@ctrl/tinycolor@4.1.1/4.1.2、ngx-color@10.0.2など40以上のパッケージが含まれる。Socketは、ユーザーに対し直ちに該当パッケージのアンインストールまたは既知の安全なバージョンへの固定を行い、影響を受けるバージョンが導入された環境を審査し、npmトークンおよび他の露出したキーを交換するよう勧告している。
お気に入りに追加
SNSで共有
