وجدت مؤسسة الأبحاث الأمنية Zscaler ThreatLabz 3 حزم npm خبيثة تم التظاهر بأنها مكتبات مرتبطة بالبيتكوين (bitcoin-main-lib، bitcoin-lib-js، bip40)، والتي تم تنزيلها أكثر من 3400 مرة قبل إزالتها، وتستخدم لزرع حصان طروادة للتحكم عن بعد يسمى NodeCordRAT. يستطيع NodeCordRAT سرقة بيانات اعتماد تسجيل الدخول إلى Chrome، ورموز API، ومفاتيح خاصة/مذكرات لمحفظة MetaMask، والتحكم في الأوامر عبر خادم Discord. يتم تفعيل البرمجيات الخبيثة من خلال سكريبتات التثبيت دون علم المطورين، وتحذر الفرق الأمنية من استمرار ارتفاع مخاطر سلسلة إمداد npm. (cryptopolitan)