Wu nói rằng, theo tiết lộ của nhà nghiên cứu an ninh Feross và nhóm SlowMist, một trong những gói phụ thuộc phổ biến nhất trong hệ sinh thái npm là axios đã gặp phải cuộc tấn công chuỗi cung ứng nghiêm trọng. Kẻ tấn công đã phát hành các phiên bản chứa mã độc của axios@1.14.1 và axios@0.30.4. Các phiên bản này tự động chèn trình tải độc hại, chương trình này sẽ giải mã và thực thi lệnh Shell trong quá trình chạy, đưa payload độc hại vào hệ điều hành (bao gồm macOS, Linux và Windows), đồng thời có khả năng xóa dấu vết điều tra. axios có hơn 100 triệu lượt tải mỗi tuần, phạm vi ảnh hưởng rất lớn. SlowMist cảnh báo các nhà phát triển ngay lập tức cố định phiên bản phụ thuộc, không nâng cấp và kiểm tra xem môi trường địa phương có bị nhiễm độc hay không.