PANews opublikował na X (dawniej Twitter). Firma zabezpieczeń SlowMist wydała ostrzeżenie o ataku na łańcuch dostaw, który dotyczy kilku powszechnie używanych pakietów npm, w tym AntV i Echarts-for-react, a także wersji pakietu Python durabletask 1.4.1, 1.4.2 i 1.4.3. 19 maja napastnicy włamali się do konta npm i w ciągu 22 minut wydali 637 złośliwych wersji w 317 pakietach.

Ostatnie incydenty związane z dużym wyciekiem tokenów GitHub oraz atakiem ransomware na Grafana Labs są uważane przez SlowMist za potencjalnie związane z tym atakiem na łańcuch dostaw. Programiści, których projekty opierają się na dotkniętych pakietach, są zalecani do natychmiastowej rotacji wszystkich narażonych danych uwierzytelniających, wymiany skompromitowanych wersji pakietów oraz sprawdzenia anomalii w swoich pipeline'ach CI/CD.