🚨 Otro ataque a la cadena de suministro de NPM `@ctrl/tinycolor` (2.2M descargas semanales) envió versiones maliciosas que ejecutan un infostealer durante el postinstall de npm para escanear y exfiltrar datos sensibles. La carga útil abusa de TruffleHog, un escáner de secretos legítimo. Verifica si descargaste versiones afectadas, pausa las instalaciones/actualizaciones y fija a versiones conocidas como buenas. Fuente: