Oscar Bolmsten, uživateľ npm balíčka crossenv, zistil 1. Augusta 2017, že tento posiela užívateľské dáta na server npm.hacktask.net. Po jeho tweete autor cross-env kontaktoval npmjs. Kontrolou crossenv sa zistilo, že je to podvodný balíček, ktorý autor hacktask vytvoril úpravou pôvodného balíčka cross-env a využitím preklepu v názve lákal na jeho použitie. Po preskúmaní ostatných balíčkov objavili v npm repozitári ďalších 38 balíčkov s tým istým napadnutím.
Podvodné balíčky boli v npm nahradené Security holding balíčkom (s nie príliš konkrétnym vysvetlením) a užívateľovi hacktask bol zrušený npm účet. Viac k téme npm blog so zoznamom odhalených balíčkov alebo správa na threadposte.