Über ein gekapertes Maintainer-Konto schleust die Hackergruppe TeamPCP manipulierte AntV-npm-Pakete in den öffentlichen Index. Der Schadcode liest CI/CD-Secrets, GitHub-Token und Cloud-Anmeldedaten aus Build-Umgebungen aus und breitet sich wurmartig auf weitere Repositories aus. Betroffen sind unter anderem echarts-for-react mit über einer Million wöchentlicher Downloads.