2018年7月12日，全球最大的面向开源及私有软件项目的托管平台GitHub对外宣称，一名黑客入侵了ESLint ，并利用Npm账户发布了包含了恶意软件的版本3.7.2，用户在安装时，恶意代码将会自动执行，访问某个网站同时会把用户的.npmrc文件的内容发送给黑客自己，而在.npmrc文件中一般包含发布到NPM的访问令牌。