وجدت مؤسسة الأبحاث الأمنية Zscaler ThreatLabz 3 حزم npm خبيثة تم التمويه على أنها مكتبات مرتبطة ببيتكوين (bitcoin-main-lib، bitcoin-lib-js، bip40)، والتي تم تنزيلها أكثر من 3400 مرة قبل إزالتها من الموقع، وتستخدم لزرع حصان طروادة للتحكم عن بعد يسمى NodeCordRAT. يستطيع NodeCordRAT سرقة بيانات اعتماد تسجيل الدخول إلى Chrome، ورموز API، ومفاتيح خاصة/مذكرات لمحفظة MetaMask، والتحكم في الأوامر عبر خادم Discord. يتم تفعيل البرمجيات الخبيثة من خلال سكريبتات التثبيت دون علم المطورين، وتحذر الفرق الأمنية من استمرار ارتفاع مخاطر سلسلة إمداد npm. (cryptopolitan)