В репозитории пакетов NPM выявлена проблема с безопасностью, которая позволяет владельцу пакета добавить в число сопровождающих любого пользователя, без получения от него согласия и без информирования о совершённом действии. Что интересно, после этого изначальный автор пакета мог удалить себя из списка сопровождающих, а сторонний пользователь оставался единственным лицом, отвечающим за пакет. Так, создатели вредоносных пакетов могли добавлять в число сопровождающих известных разработчиков или крупных компаний с целью повышения доверия пользователей и создания иллюзии, что заслуженные разработчики отвечают за пакет. GitHub устранила проблему через введение обязательного подтверждения у пользователей согласия на присоединение к другому проекту.