За повідомленням Wu, згідно з даними дослідника безпеки Feross та командою SlowMist, один із найпопулярніших залежних пакетів у екосистемі npm — axios — зазнав серйозної атаки на ланцюг поставок. Зловмисники опублікували версії axios@1.14.1 та axios@0.30.4, що містять шкідливий код. Ці версії автоматично підключають шкідливий завантажувач, який під час виконання розшифровує та виконує Shell-команди, вставляючи шкідливе навантаження в операційну систему (macOS, Linux та Windows) та має можливість видаляти сліди слідства для ускладнення розслідування. axios завантажується понад 100 мільйонів разів щотижня, тому масштаб впливу дуже великий. SlowMist рекомендує розробникам негайно зафіксувати версії залежностей, не оновлювати їх і перевірити, чи не було заражено локальне середовище.