Socket披露@ctrl/tinycolor遭恶意更新引发大规模供应链攻击

admin 2025-09-16 10:00:24 7

Socket披露，9月16日，热门npm包@ctrl/tinycolor（周下载量220万次）因恶意更新卷入影响超40个包的大规模供应链攻击。受影响包含angulartics2@14.1.2、@ctrl/tinycolor@4.1.1/4.1.2、ngx-color@10.0.2等40余款。官方建议用户立即卸载或锁定至安全版本，审查受影响环境，并轮换npm令牌及暴露密钥。