NPM サプライチェーンへの攻撃事件が再び発生し、@ctrl/tinycolor が悪意のあるバージョンを公開しました。

2025-09-16 09:31:56

に共有します

ChainCatcher のメッセージ、Scam Sniffer が NPM サプライチェーンに対する新たな攻撃事件を検出しました。@ctrl/tinycolor（週間ダウンロード数 220 万回）が悪意のあるバージョンをリリースしました。このバージョンは、npm が postinstall（インストール後）スクリプトを実行する際に情報窃取プログラムを実行し、敏感なデータをスキャンして盗みます。

この悪意のあるペイロードは、合法的な敏感情報スキャンツール TruffleHog を悪用しました。影響を受けたバージョンをダウンロードしたかどうかを確認し、インストール/更新操作を一時停止し、バージョンを既知の安全なバージョンに固定してください。

(ソースリンク)

CoinPost

2025-09-18 20:05:54

USDC Treasuryはイーサリアムチェーン上で約7000万USDCを焼却しました。

CoinPost

2025-09-18 20:05:54

Circle CCTP V 2 が Stellar に登場します

CoinPost

2025-09-18 20:01:50

Robinhood US は CRV を上場します。

CoinPost