شنّ المهاجمون هجوماً على سلسلة الإمداد واسع النطاق على نطاق «Mini Shai-Hulud»، ما أدى إلى اختراق 637 إصداراً من حزم npm خلال 22 دقيقة في 19 مايو

وفقاً لـ Slowmist، في 19-20 مايو، استغل المهاجمون حساب npm الخاص بـ atool واستخدموا آلياً نشر 637 نسخة خبيثة ضمن 317 حزمة خلال 22 دقيقة. بين 00:19 و00:54 بتوقيت بكين في 20 مايو، قام المهاجمون برفع نسخ durabletask 1.4.1 و1.4.2 و1.4.3، متحايلين على الإصدارات الرسمية لمايكروسوفت.

تشمل المكونات المتأثرة عالية التردد AntV وEcharts-for-react ضمن منظومة npm، وdurabletask في بايثون. ربطت Slowmist تسريب رمز GitHub الجماعي وهجمات برامج الفدية ضد Grafana Labs بهذه الحملة. كان بإمكان المهاجمين سرقة بيانات الاعتماد، والحصول على وصول غير مصرح به إلى مستودعات داخلية، والتحرك بشكل جانبي عبر مسارات CI/CD، وابتزاز المؤسسات باستخدام رموز GitHub المخترَنة.