Menurut PANews, serangan baru yang menargetkan rantai pasokan NPM telah terdeteksi oleh Scam Sniffer. Paket @ctrl/tinycolor, yang memiliki tingkat unduhan mingguan sebesar 2,2 juta, merilis versi berbahaya. Versi ini menjalankan program pencuri informasi selama skrip pasca-instalasi npm, yang bertujuan untuk memindai dan mencuri data sensitif. Muatan berbahaya mengeksploitasi alat pemindai informasi sensitif yang sah, TruffleHog. Pengguna disarankan untuk memeriksa apakah mereka telah mengunduh versi yang terpengaruh, menghentikan instalasi atau operasi pembaruan, dan mengunci versi ke versi yang diketahui aman.