SlowMistのセキュリティアラートによると、調整されたサプライチェーン攻撃がnpmエコシステムを標的にし、30の悪意のあるパッケージが関与しています。攻撃者は、偽のトレーディングボットリポジトリやDeFiをテーマにしたnpmパッケージを作成することで、JavaScriptの情報窃盗ツールを配布しました。stake-math@3.5.4パッケージは、donoaccestag/forex-mt5-trading-botリポジトリのロックされた依存関係として特定されており、poly-stocksアカウント下に約23,000の類似したフォークされたリポジトリが存在し、異常の兆候が見られました。 この攻撃は、暗号ウォレット、ブラウザのクッキー、パスワード、開発者の資格情報、秘密鍵、シードフレーズ、APIトークンなどの機密データの盗難リスクをもたらします。開発者は、影響を受けたパッケージを削除し、依存関係とCIログを監査し、npm installを実行したシステムを侵害されたものとして扱い、露出した資格情報をローテーションし、クリーンなイメージから環境を再構築することが推奨されています。