Дослідники безпеки виявили 36 шкідливих пакетів у публічному реєстрі npm, які імітують легітимні плагіни для популярної системи керування контентом Strapi CMS. Зловмисники використовували техніку реєстрації імен, схожих на популярні бібліотеки для розповсюдження шкідливого коду. Пакти містили різні типи корисного навантаження, включаючи інструменти для експлуатації баз даних Redis та PostgreSQL, а також скрипти для створення зворотних оболонок для віддаленого керування сервером.

Технічний аналіз показав, що після встановлення пакет автоматично збирав облікові дані з конфігураційних файлів та встановлював стійкий імплант у систему. Це дозволяло хакерам зберігати доступ до серверів навіть після перезавантаження. Деякі пакети були націлені на викрадення секретних ключів API та токенів доступу до хмарних середовищ. На даний момент адміністрація npm видалила всі ідентифіковані шкідливі модулі, проте розслідування триває для виявлення можливих копій та пов’язаних облікових записів розробників.