Selon Wu, d'après la divulgation du chercheur en sécurité Feross et de l'équipe SlowMist, l'un des packages de dépendances les plus utilisés dans l'écosystème npm, axios, a été victime d'une attaque grave de la chaîne d'approvisionnement. Les attaquants ont publié des versions malveillantes d'axios@1.14.1 et axios@0.30.4. Ces versions introduisent automatiquement un chargeur malveillant, qui déchiffre et exécute des commandes Shell lors de l'exécution, implantant ainsi une charge utile malveillante dans le système d'exploitation (couvrant macOS, Linux et Windows) et disposant de capacités de contre-espionnage pour effacer les traces de l'intrusion. Avec plus d'un milliard de téléchargements hebdomadaires, l'impact est considérable. SlowMist recommande aux développeurs de fixer immédiatement la version des dépendances, de ne pas effectuer de mise à jour, et de vérifier si leur environnement local a été infecté.