Wu disse que, de acordo com o pesquisador de segurança Feross e a equipe SlowMist, um dos pacotes de dependência mais utilizados no ecossistema npm, o axios, sofreu um ataque grave à cadeia de suprimentos. Os atacantes lançaram versões do axios@1.14.1 e axios@0.30.4 contendo código malicioso. Essas versões introduzem automaticamente um carregador malicioso que, durante a execução, descriptografa e executa comandos Shell, implantando cargas maliciosas no sistema operacional (abrangendo macOS, Linux e Windows) e possuindo capacidade de anti-forense para apagar vestígios de investigação. O axios é baixado mais de 100 milhões de vezes por semana, afetando um alcance extremamente amplo. A SlowMist alerta os desenvolvedores para fixar imediatamente a versão das dependências, não atualizar e verificar se o ambiente local foi infectado.