За повідомленнями безпекових дослідників Feross та команди SlowMist було виявлено, що один із найпопулярніших залежностей у екосистемі npm — axios — зазнав серйозної атаки на ланцюг поставок. Зловмисники опублікували шкідливі версії axios@1.14.1 та axios@0.30.4. Ці версії автоматично підключають шкідливий завантажувач, який під час виконання розшифровує та виконує Shell-команди, вставляючи шкідливе навантаження в операційну систему (macOS, Linux та Windows) та має можливість видаляти сліди слідчої експертизи для ускладнення виявлення. axios завантажується понад 100 мільйонів разів щотижня, що робить вплив дуже масштабним. SlowMist нагадує розробникам негайно зафіксувати версії залежностей, не оновлювати їх і перевірити, чи не було інфіковано локальне середовище.