En el centro de la brecha estaba Axios, una biblioteca de JavaScript con amplia adopción entre los desarrolladores. Según Forbes, se subieron paquetes alterados al registro npm el 31 de marzo, portando malware de troyano de acceso remoto. La ventana de exposición duró aproximadamente tres horas antes de que los paquetes fueran retirados. Una campaña de ingeniería social dirigida dio al atacante un punto de apoyo en la máquina del mantenedor principal; desde allí, se robaron las credenciales de la cuenta npm y se usaron para enviar los paquetes envenenados. Se cree que el ataque está vinculado a Corea del Norte.