Согласно компании по безопасности SlowMist, 1 июля исследователи выявили скоординированную атаку на цепочку поставок npm, включающую 30 вредоносных пакетов, замаскированных под репозитории торговых ботов и DeFi-инструменты. Атака направлена на пользователей npm, разработчиков DeFi и пользователей торговых ботов. Один пакет, stake-math@3.5.4, оказался зафиксированной зависимостью в репозитории, который породил примерно 2 300 почти идентичных форков, в основном под аккаунтом poly-stocks.
Вредоносные пакеты способны красть библиотеки кошельков, куки браузера, сохраненные пароли, историю браузера, учетные данные разработчика, историю командной строки, базы данных менеджеров паролей, закрытые ключи, сид-фразы и токены API из исходного кода. SlowMist рекомендовал разработчикам немедленно удалить затронутые пакеты и заменить все скомпрометированные учетные данные и ключи.