Los investigadores de ciberseguridad han señalado un nuevo ataque a la cadena de suministro de software dirigido al registro npm que ha afectado más de 40 paquetes que pertenecen a múltiples mantenedores."Las versiones comprometidas incluyen una función (NpmModule.updatePackage) que descarga un tarball de paquete, modifica package.json, inyecta un script local (bundle.js), reempaqueta el archivo y lo republica, permitiendo la trojanización automática de paquetes descendientes", dijo la compañía de seguridad de cadena de suministro Socket.