一名黑客通过购买30个WordPress插件，并在其中植入后门程序，从而攻破了这些插件。攻击者的目标不是数据，而是利用这些被攻陷的网站注入指向其他网站的链接——一种提升搜索引擎排名的策略，用于潜在有害内容，例如发薪日贷款和药店。这使得他们能够将这些提升后的排名作为一项服务出售。 该事件凸显了一个重大的供应链漏洞：开发者经常在不知情的情况下，通过诸如npm之类的工具将大量未经检查的依赖项（库）纳入他们的项目中。许多人甚至不知道这些依赖项是什么，这使他们容易受到此类攻击。 Hacker News上的讨论提出了一些潜在的解决方案，例如由LLM审查的存储库，但有人担心这些系统在面对决心强烈、以金钱为动力的攻击者时，成本和有效性问题。