محققان امنیت سایبری سه بسته مخرب در رجیستری npm کشف کردند که خود را به عنوان کتابخانه محبوب ربات تلگرام جا می‌زنند اما دارای backdoor های SSH و قابلیت‌های سرقت داده هستند. این بسته‌ها شامل node-telegram-utils، node-telegram-bots-api و node-telegram-util می‌باشند که برای تقلید از کتابخانه مشروع node-telegram-bot-api طراحی شده‌اند و از تکنیک starjacking برای افزایش اعتبار و فریب توسعه‌دهندگان استفاده می‌کنند.

این بسته‌های مخرب به طور خاص روی سیستم‌های لینوکس کار می‌کنند و دو کلید SSH به فایل authorized_keys اضافه می‌کنند تا دسترسی دائمی از راه دور به میزبان فراهم کنند. حذف این بسته‌ها تهدید را به طور کامل از بین نمی‌برد زیرا کلیدهای SSH درج شده همچنان دسترسی کامل به مهاجمان می‌دهد. همچنین بسته مخرب دیگری به نام @naderabdi/merchant-advcash نیز کشف شده که برای راه‌اندازی reverse shell به سرور از راه دور طراحی شده و به عنوان ابزار پرداخت ارزهای دیجیتال مخفی شده است.