PANews hat auf X (ehemals Twitter) gepostet. Die Sicherheitsfirma SlowMist hat eine Warnung zu einem Supply-Chain-Angriff herausgegeben, der mehrere häufig verwendete npm-Pakete betrifft, darunter AntV und Echarts-for-react sowie die Python-Paketversionen durabletask 1.4.1, 1.4.2 und 1.4.3. Am 19. Mai haben Angreifer ein npm-Konto geknackt und innerhalb von 22 Minuten 637 bösartige Versionen über 317 Pakete veröffentlicht.

Kürzliche Vorfälle im Zusammenhang mit einem großangelegten GitHub-Token-Leck und einem Ransomware-Angriff auf Grafana Labs werden von SlowMist als potenziell mit diesem Supply-Chain-Angriff verbunden angesehen. Entwickler, deren Projekte auf den betroffenen Paketen basieren, sollten sofort alle exponierten Zugangsdaten rotieren, die kompromittierten Paketversionen ersetzen und auf Anomalien in ihren CI/CD-Pipelines prüfen.