SlowMist Güvenlik Uyarısı'na göre, npm ekosistemini hedef alan koordineli bir tedarik zinciri saldırısı gerçekleşti ve bu saldırı 30 kötü amaçlı paketi içeriyor. Saldırganlar, sahte ticaret botu depoları ve DeFi temalı npm paketleri oluşturarak JavaScript bilgi hırsızları dağıttılar. stake-math@3.5.4 paketi, donoaccestag/forex-mt5-trading-bot deposunda kilitli bir bağımlılık olarak tespit edildi; bu depo, poly-stocks hesabı altında yaklaşık 23.000 benzer çatallanmış depo ile anormallik belirtileri gösterdi. Saldırı, kripto cüzdanları, tarayıcı çerezleri, şifreler, geliştirici kimlik bilgileri, özel anahtarlar, tohum ifadeleri ve API tokenları dahil olmak üzere hassas verilerin çalınma riski taşımaktadır. Geliştiricilere, etkilenen paketleri kaldırmaları, bağımlılıkları ve CI günlüklerini denetlemeleri, npm install komutunu çalıştıran sistemleri tehlikeye girmiş olarak değerlendirmeleri, açığa çıkan kimlik bilgilerini değiştirmeleri ve ortamları temiz imajlardan yeniden oluşturmaları tavsiye edilmektedir.