محققان امنیت سایبری سه بسته مخرب npm را شناسایی کردند که به طور خاص نسخه macOS ویرایشگر کد Cursor را هدف قرار می‌دهند. این بسته‌ها با نام‌های sw-cur، sw-cur1 و aiide-cur که مجموعاً بیش از ۳۲۰۰ بار دانلود شده‌اند، خود را به عنوان ابزارهای توسعه‌دهنده معرفی می‌کنند و ادعا می‌کنند “ارزان‌ترین API Cursor” را ارائه می‌دهند. پس از نصب، این بسته‌ها اعتبارنامه‌های کاربران را سرقت کرده، محتوای رمزگذاری شده از سرورهای کنترل شده توسط مهاجمان دریافت می‌کنند و فایل اصلی main.js برنامه Cursor را با کد مخرب جایگزین کرده و سیستم به‌روزرسانی خودکار را غیرفعال می‌کنند.

همچنین دو بسته npm دیگر به نام‌های pumptoolforvolumeandcomment و debugdogs کشف شدند که داده‌های مربوط به کیف پول‌های رمزارز و کلیدهای خصوصی را از پلتفرم BullX سرقت می‌کنند. علاوه بر این، بسته مشروع “rand-user-agent” در یک حمله زنجیره تأمین مصالح دستکاری شده و نسخه‌های ۲.۰.۸۳، ۲.۰.۸۴ و ۱.۰.۱۱۰ آن حاوی تروجان دسترسی از راه دور (RAT) هستند که امکان اجرای دستورات از راه دور، آپلود فایل و تغییر دایرکتوری کاری را فراهم می‌کند.