Một cuộc tấn công chuỗi cung ứng phối hợp đã nhắm vào hệ sinh thái npm, liên quan đến 30 gói độc hại, theo một cảnh báo bảo mật của SlowMist. Kẻ tấn công đã phân phối các phần mềm đánh cắp thông tin JavaScript bằng cách tạo các kho lưu trữ bot giao dịch giả mạo và các gói npm theo chủ đề DeFi. Gói stake-math@3.5.4 được xác định là một phụ thuộc khóa trong kho lưu trữ donoaccestag/forex-mt5-trading-bot, nơi cho thấy dấu hiệu bất thường với khoảng 23.000 kho lưu trữ nhánh tương tự dưới tài khoản poly-stocks. Cuộc tấn công này gây nguy cơ đánh cắp dữ liệu nhạy cảm, bao gồm ví tiền điện tử, cookie trình duyệt, mật khẩu, thông tin xác thực nhà phát triển, khóa riêng tư, cụm từ khôi phục và token API. Các nhà phát triển được khuyên nên gỡ bỏ các gói bị ảnh hưởng, kiểm tra các phụ thuộc và nhật ký CI, coi các hệ thống đã chạy npm install là bị xâm phạm, thay đổi thông tin xác thực bị lộ và xây dựng lại môi trường từ các hình ảnh sạch.