۶۰ بسته مخرب در فهرست NPM کشف شده که سعی در جمع‌آوری اطلاعات حساس میزبان و شبکه و ارسال آن‌ها به یک وب‌هوک Discord تحت کنترل مهاجم دارند. این بسته‌ها از ۱۲ می آپلود شده و حاوی اسکریپت‌های نصب خودکار هستند که اطلاعاتی نظیر نام میزبان، آدرس IP داخلی، دایرکتوری کاربر، نام کاربری و سرورهای DNS سیستم را جمع‌آوری می‌کنند. مهاجمان از نام‌های مشابه بسته‌های مشروع استفاده کرده‌اند تا توسعه‌دهندگان را فریب دهند.

همچنین Socket کمپین مخرب دیگری را کشف کرده که شامل ۸ بسته مخرب است که از طریق typosquatting ابزارهای مشروع را تقلید کرده و قابلیت حذف فایل‌ها، خراب کردن داده‌ها و خاموش کردن سیستم‌ها را دارند. این بسته‌ها که اکوسیستم‌های React، Vue.js، Vite، Node.js و Quill را هدف قرار داده‌اند، به مدت دو سال در NPM موجود بوده و ۶۲۰۰ بار دانلود شده‌اند. بارهای مخرب آن‌ها بر اساس تاریخ‌های سخت‌کد شده فعال می‌شوند و به تدریج فایل‌های فریم‌ورک را نابود کرده و متدهای اصلی JavaScript را خراب می‌کنند.