Socket Research Team监测到,9月16日npm生态发生重大供应链安全事件:周下载量达220万次的热门包@ctrl/tinycolor被植入恶意代码,引发波及40余个关联包的供应链攻击事件。受此影响的组件版本包括angulartics2@14.1.2、@ctrl/tinycolor@4.1.1/4.1.2及ngx-color@10.0.2等。该团队紧急呼吁开发者立即执行安全响应措施,包括卸载风险版本、锁定安全版本依赖、全面审计受影响环境,并对npm令牌及暴露密钥实施强制轮换。
