Según la firma de seguridad SlowMist, el 1 de julio, los investigadores identificaron un ataque coordinado a la cadena de suministro de npm que involucraba 30 paquetes maliciosos disfrazados de repositorios de bots de trading y herramientas DeFi. El ataque se dirige a usuarios de npm, desarrolladores DeFi y usuarios de bots de trading. Un paquete, stake-math@3.5.4, apareció como una dependencia bloqueada en un repositorio que generó aproximadamente 2.300 versiones bifurcadas casi idénticas, principalmente bajo la cuenta poly-stocks.
Los paquetes maliciosos son capaces de robar bibliotecas de wallets, cookies del navegador, contraseñas guardadas, historial de navegación, credenciales de desarrollador, historiales de shell, bases de datos de gestores de contraseñas, claves privadas, frases semilla y tokens de API del código fuente. SlowMist recomendó a los desarrolladores eliminar de inmediato los paquetes afectados y rotar todas las credenciales y claves expuestas.