Деякі з шкідливих пакетів мали обмеження на активацію лише на конкретні дати 2023 року, але в деяких випадках фаза, яка повинна була розпочатися в липні того ж року, не мала встановленої дати закінчення. Пандя зазначив, що це означає, що загроза залишається постійною, хоча в електронному листі він також написав: «Оскільки всі дати активації минули (від червня 2023 до серпня 2024 року), будь-який розробник, який дотримується нормального використання пакетів сьогодні, миттєво активує руйнівні елементи, включаючи вимкнення системи, видалення файлів та корупцію JavaScript-прототипів».
Цікаво, що користувач NPM, який завантажив шкідливі пакети, використовуючи реєстраційну електронну адресу 1634389031@qq[.]com, також виклав коректні пакети без жодних шкідливих функцій. Підхід до подання як шкідливих, так і корисних пакетів допоміг створити «фасад легітимності», що підвищило шанси на те, що шкідливі пакети залишаться непоміченими, зазначив Пандя. Питання, надіслані на цю адресу, залишились без відповіді.
Шкідливі пакети націлювались на користувачів деяких з найбільших екосистем для розробників JavaScript, включаючи React, Vue та Vite. Конкретні пакети включали:
Кожен, хто встановлював будь-який з цих пакетів, повинен ретельно перевірити свої системи, щоб впевнитися, що вони більше не працюють. Ці пакети чудово імітують легітимні розробницькі інструменти, тому їх може бути легко не помітити.
