继SAP的NPM包、深度学习框架PyTorch的PyPI库Lightning遭遇Mini Shai-Hulud供应链蠕虫攻击后，其他软件包也受到波及。

安全公司OX Security、Socket和StepSecurity发现，NPM包intercom-client近期发布的7.0.4版本被植入恶意代码。该包是Intercom消息平台的Node.js客户端SDK，一旦开发人员不慎安装，就会从GitHub下载未经验证的Bun二进制文件。另一个恶意文件大小达11.7 MB，为高度混淆的JavaScript文件，用于从环境变量和本地文件中收集Kubernetes与Vault的凭证，经加密后通过GitHub API外传。Socket指出，此次事件与SAP维护的包及Lightning遭攻击的情况几乎完全一致，因此判断这很可能是同一波攻击活动。

在intercom-client被攻陷后，Socket发现另一个由Intercom开发的PHP包intercom/intercom-php也被感染。Intercom随后表示，其软件包遭受攻击的根本原因，是无意中引入了存在漏洞的Lightning包。