Laut der Sicherheitsfirma SlowMist identifizierten Forscher am 1. Juli einen koordinierten npm-Lieferkettenangriff, an dem 30 bösartige Pakete beteiligt waren, die als Repositorien für Trading-Bots und DeFi-Tools getarnt waren. Der Angriff richtet sich gegen npm-Nutzer, DeFi-Entwickler und Nutzer von Trading-Bots. Ein Paket, stake-math@3.5.4, erschien als gesperrte Abhängigkeit in einem Repository, das etwa 2.300 nahezu identische Fork-Versionen hervorbrachte, hauptsächlich unter dem Konto poly-stocks.
Die bösartigen Pakete sind in der Lage, Wallet-Bibliotheken, Browser-Cookies, gespeicherte Passwörter, Browserverlauf, Entwickleranmeldedaten, Shell-Verläufe, Datenbanken von Passwortmanagern, private Schlüssel, Seed-Phrasen und API-Tokens aus Quellcode zu stehlen. SlowMist empfahl Entwicklern, betroffene Pakete umgehend zu entfernen und alle offengelegten Anmeldedaten und Schlüssel auszutauschen.