PANews a posté sur X (anciennement Twitter). La société de sécurité SlowMist a émis un avertissement concernant une attaque de chaîne d'approvisionnement affectant plusieurs paquets npm couramment utilisés, y compris AntV et Echarts-for-react, ainsi que les versions 1.4.1, 1.4.2 et 1.4.3 du paquet Python durabletask. Le 19 mai, des attaquants ont compromis un compte npm et en 22 minutes ont publié 637 versions malveillantes à travers 317 paquets.

Des incidents récents impliquant une fuite de token GitHub à grande échelle et une attaque ransomware contre Grafana Labs sont considérés par SlowMist comme potentiellement liés à cette attaque de chaîne d'approvisionnement. Les développeurs dont les projets dépendent des paquets affectés sont conseillés de faire tourner immédiatement toutes les credentials exposées, de remplacer les versions de paquets compromises et de vérifier les anomalies dans leurs pipelines CI/CD.