قال ووش إن فريق الباحثين الأمنيين Feross وفريق SlowMist كشفوا أن أحد أكثر حزم الاعتماد استخدامًا في نظام بيئة npm، وهي axios، تعرضت لهجوم خطير على سلسلة التوريد. قام المهاجمون بنشر إصدارات تحتوي على رمز خبيث وهي axios@1.14.1 و axios@0.30.4. هذه الإصدارات ستقوم تلقائيًا بتحميل محمل خبيث، والذي يقوم أثناء التشغيل بفك تشفير وتنفيذ أوامر Shell، ويزرع حمولة خبيثة في نظام التشغيل (يشمل macOS و Linux و Windows)، ويملك قدرة على محو أدلة التحقيق والتخفي. يتم تحميل axios أكثر من مليار مرة أسبوعيًا، مما يجعل نطاق التأثير واسعًا. تحذر SlowMist المطورين من تثبيت إصدارات الاعتماد فورًا، وعدم التحديث، والتحقق من أن بيئتهم المحلية لم تتعرض للعدوى.