۶۰ بسته مخرب npm در رجیستری بسته‌ها کشف شده که قابلیت مخربی برای جمع‌آوری نام میزبان‌ها، آدرس‌های IP، سرورهای DNS و دایرکتوری‌های کاربر به یک نقطه پایانی کنترل‌شده توسط Discord دارند. این بسته‌ها که تحت سه حساب مختلف منتشر شده‌اند، دارای اسکریپت نصب هستند که در طول npm install فعال می‌شود و بیش از ۳۰۰۰ بار دانلود شده‌اند. کد مخرب به طور خاص برای اثرانگذاری هر دستگاهی که بسته را نصب می‌کند طراحی شده و در صورت تشخیص اجرا در محیط مجازی مرتبط با آمازون، گوگل و سایرین، اجرا را متوقف می‌کند.

همچنین هشت بسته npm دیگر کشف شده که خود را به عنوان کتابخانه‌های کمکی برای فریم‌ورک‌های جاوااسکریپت محبوب مانند React، Vue.js و Vite جا می‌زنند اما پس از نصب، بارهای مخرب مخربی را مستقر می‌کنند که بیش از ۶۲۰۰ بار دانلود شده‌اند. برخی از این بسته‌ها به طور خودکار پس از فراخوانی توسط توسعه‌دهندگان اجرا شده و حذف بازگشتی فایل‌های مرتبط با Vue.js، React و Vite را امکان‌پذیر می‌کنند. علاوه بر این، افزونه‌های مخرب سارق داده در بازار Visual Studio Code مایکروسافت نیز کشف شده که برای سرقت اعتبارنامه‌های کیف پول رمزارز با هدف قرار دادن توسعه‌دهندگان Solidity در ویندوز طراحی شده‌اند.