Дослідники виявили шкідливі пакети в екосистемах npm, PyPI та RubyGems, які використовують Discord як канал керування та контролю (C2) для передачі вкрадених даних розробників. Ці пакети маскуються під корисні інструменти, крадучи токени, API-ключі та особисту інформацію, а потім відправляючи їх у приватні Discord-канали зловмисників. Атака активна з жовтня 2025 року, впливаючи на тисячі розробників, які встановлюють пакети через довіру до відкритих репозиторіїв. Зловмисники експлуатують популярність Discord серед IT-спільноти, роблячи виявлення складним. Рекомендації включають перевірку джерел пакетів, використання сканерів безпеки та моніторинг мережі на підозрілий трафік до Discord.

Ця кампанія ілюструє еволюцію supply-chain атак, де шкідливе ПЗ інтегрується в ланцюги розробки. Розробники стикаються з ризиками витоку інтелектуальної власності та корпоративних секретів. Платформи як npm та PyPI посилили модерацію, але користувачам радять оновлювати залежності та використовувати віртуальні середовища. Подібні інциденти, як SolarWinds, показують, що 80% атак починаються з компрометації коду. Для протидії потрібні автоматизовані інструменти аналізу та освіта з безпечного кодингу.