𝗡𝗣𝗠 𝗦𝘂𝗽𝗽𝗹𝘆 𝗖𝗵𝗮𝗶𝗻 𝗔𝘁𝘁𝗮𝗰𝗸 𝗗𝗲𝘁𝗲𝗰𝘁𝗲𝗱: 𝗠𝗮𝗹𝗶𝗰𝗶𝗼𝘂𝘀 𝗩𝗲𝗿𝘀𝗶𝗼𝗻 𝗼𝗳 𝗣𝗼𝗽𝘂𝗹𝗮𝗿 𝗣𝗮𝗰𝗸𝗮𝗴𝗲 𝗥𝗲𝗹𝗲𝗮𝘀𝗲𝗱
👨💻 Một mối đe dọa bảo mật lớn vừa xảy ra trong thế giới phát triển:
Một phiên bản độc hại của gói phổ biến @ctrl/tinycolor (với 2.2M lượt tải hàng tuần!) đã được phát hành.
💀 Những gì nó làm:
Chạy một script ăn cắp thông tin ẩn ngay sau khi cài đặt
Nhắm vào dữ liệu nhạy cảm sử dụng TruffleHog
Có thể làm lộ các dự án của bạn & dữ liệu cá nhân ngay lập tức
🔥 Nếu bạn đã cài đặt hoặc cập nhật gần đây:
✅ Ngừng cài đặt/cập nhật ngay lập tức
✅ Kiểm tra phiên bản của bạn & khóa nó vào một phiên bản an toàn
✅ Cảnh báo đội ngũ của bạn trước khi nó lan rộng hơn
Đây là một lời nhắc nhở khác: Các cuộc tấn công chuỗi cung ứng đang trở nên đáng sợ hơn từng ngày.
👉 Các nhà phát triển, bạn đã bao giờ bị tấn công bởi một gói độc hại trước đây chưa?
Hãy chia sẻ ý kiến của bạn 👇 — hãy nâng cao nhận thức trước khi nhiều dự án bị xâm phạm hơn!