根據慢霧的說法,5 月 19-20 日,攻擊者入侵 npm 帳號 atool,並在 22 分鐘內自動發布了分散在 317 個套件中的 637 個惡意版本。5 月 20 日北京時間 00:19 到 00:54 之間,攻擊者上傳了 durabletask 版本 1.4.1、1.4.2 與 1.4.3,假冒微軟的官方發行版本。
受影響的高頻元件包括 npm 生態中的 AntV 與 Echarts-for-react,以及 Python 中的 durabletask。慢霧將 GitHub token 大規模洩漏與 Grafana Labs 勒索軟體攻擊關聯到此次活動。攻擊者可竊取憑證、取得對內部儲存庫的未授權存取、透過 CI/CD 管線橫向移動,並使用遭入侵的 GitHub token 向組織勒索。
