Um ataque coordenado à cadeia de suprimentos atingiu o ecossistema npm, envolvendo 30 pacotes maliciosos, segundo um Alerta de Segurança da SlowMist. Os atacantes distribuíram infostealers em JavaScript criando repositórios falsos de bots de negociação e pacotes npm com tema DeFi. O pacote stake-math@3.5.4 foi identificado como uma dependência bloqueada no repositório donoaccestag/forex-mt5-trading-bot, que apresentou sinais de anomalias com cerca de 23.000 repositórios bifurcados semelhantes sob a conta poly-stocks. O ataque representa um risco de roubo de dados sensíveis, incluindo carteiras de criptomoedas, cookies de navegador, senhas, credenciais de desenvolvedor, chaves privadas, frases-semente e tokens de API. Recomenda-se que os desenvolvedores removam os pacotes afetados, auditem as dependências e os logs de CI, tratem os sistemas que executaram npm install como comprometidos, rotacionem as credenciais expostas e reconstruam os ambientes a partir de imagens limpas.