در نمونه جدیدی از حمله زنجیره تأمین که ریپوزیتوری نرم‌افزار متن باز را هدف قرار می‌دهد، دو پکیج محبوب NPM با مجموع دانلود هفتگی نزدیک به ۲۲ میلیون بار، با دسترسی غیرمجاز به اکانتهای دولوپر مربوطه با کد مخرب در معرض خطر قرار گرفته‌اند.

دو لایبرری مورد بحث عبارتند از «coa» که تجزیه‌کننده گزینه‌های کامند لاین است و «rc»، که لودر پیکربندی می‌باشد، که هر دو توسط یک عامل تهدید ناشناس دستکاری شده‌اند تا حاوی بدافزار سرقت رمز عبور همسان باشد.

تمام نسخه‌های coa که با 2.0.3 و بالاتر شروع می‌شوند (2.0.3، 2.0.4، 2.1.1، 2.1.3، 3.0.1، و 3.1.3) تحت تأثیر این تهدید قرار گرفته‌اند و طبق توصیه GitHub که در ۴ نوامبر منتشر شد به کاربران نسخه‌های آسیب‌دیده توصیه می‌شود که در اسرع وقت سیستم‌های خود را به نسخه قبلی 2.0.2 داون‌گرید نموده و سیستم‌های خود را از نظر هرگونه فعالیت مشکوک بررسی نمایند. در همین راستا، نسخه‌های1.2.9، 1.3.9 و 2.3.9 متعلق به rc با بدافزار آلوده شده‌اند و به کاربران با یک هشدار مستقل اطلاع داده و از آن‌ها می‌خواهد که نسخه‌های خود را به نسخه 1.2.8 تنزل دهند.

تجزیه و تحلیل بیشتر بر روی نمونه‌های بدافزار مستقر نشان می‌دهد که این بدافزار یک نوع DanaBot است که یک بدافزار ویندوز برای سرقت اطلاعات کاربری و رمز‌های عبور بوده و مانند دو حادثه مشابه در ماه گذشته است که در نتیجه آن باعث به خطر افتادن UAParser.js و همچنین انتشار لایبرری‌های NPM بسیار مخرب و ساختگی متعلق به Roblox شده است.

مجموعه NPM در توییتی گفت: «برای محافظت از حساب‌ها و پکیج‌های خود در برابر حملات مشابه، ما به شدت و اکیدا توصیه می‌نماییم که حتماً ″احراز هویت دو مرحله ای″ را در حساب NPM خود فعال کنید».