Une attaque coordonnée de la chaîne d'approvisionnement a ciblé l'écosystème npm, impliquant 30 paquets malveillants, selon une alerte de sécurité de SlowMist. Les attaquants ont distribué des logiciels espions JavaScript en créant de faux dépôts de bots de trading et des paquets npm à thème DeFi. Le paquet stake-math@3.5.4 a été identifié comme une dépendance verrouillée dans le dépôt donoaccestag/forex-mt5-trading-bot, qui présentait des signes d'anomalies avec environ 23 000 dépôts similaires forkés sous le compte poly-stocks. L'attaque présente un risque de vol de données sensibles, notamment des portefeuilles crypto, des cookies de navigateur, des mots de passe, des identifiants de développeur, des clés privées, des phrases de récupération et des jetons API. Il est conseillé aux développeurs de supprimer les paquets affectés, d'auditer les dépendances et les journaux CI, de considérer les systèmes ayant exécuté npm install comme compromis, de faire tourner les identifiants exposés et de reconstruire les environnements à partir d'images propres.