Ein koordinierter Angriff auf die Lieferkette hat das npm-Ökosystem ins Visier genommen und umfasst laut einer SlowMist-Sicherheitswarnung 30 bösartige Pakete. Angreifer verteilten JavaScript-Infostealer, indem sie gefälschte Trading-Bot-Repositories und DeFi-themenbezogene npm-Pakete erstellten. Das Paket stake-math@3.5.4 wurde als gesperrte Abhängigkeit im Repository donoaccestag/forex-mt5-trading-bot identifiziert, das Anzeichen von Anomalien zeigte, mit etwa 23.000 ähnlichen geforkten Repositories unter dem Konto poly-stocks. Der Angriff birgt das Risiko des Diebstahls sensibler Daten, einschließlich Krypto-Wallets, Browser-Cookies, Passwörtern, Entwickleranmeldeinformationen, privaten Schlüsseln, Seed-Phrasen und API-Tokens. Entwicklern wird geraten, betroffene Pakete zu entfernen, Abhängigkeiten und CI-Protokolle zu prüfen, Systeme, auf denen npm install ausgeführt wurde, als kompromittiert zu behandeln, exponierte Anmeldeinformationen zu ändern und Umgebungen aus sauberen Images neu aufzubauen.