Socket Research Team于9月16日披露，@ctrl/tinycolor（周下载量220万次）npm包遭恶意更新，引发影响逾40个包的大规模供应链攻击。受波及的包体包含angulartics2@14.1.2、@ctrl/tinycolor@4.1.1/4.1.2、ngx-color@10.0.2等具体版本。该团队紧急建议用户执行版本回滚或锁定至安全版本，全面核查受影响环境，并强制轮换npm令牌及可能泄露的敏感凭证。