Nové útoky na dodávateľský reťazec zasiahli softvérové balíky. Hekeri vložili škodlivý kód do takmer dvoch desiatok balíkov hostených v repozitári npm. Medzi napadnutými balíkmi sa nachádzali aj základné súčasti JavaScriptu, ktoré používajú tisíce iných aplikácií, čo výrazne zvýšilo dosah útoku.