Разработчик NPM-пакета node.ipc, добавляющего возможности межпроцессного взаимодействия и нейронных сетей, встроил в него вредоносный код, работающий для пользователей из России. Данный модуль включался в другие пакеты (Vue.js CLI и т.д.) и загружался более 1 миллиона раз в неделю.
Сам вредоносный код, который заменял все пользовательские данные на эмодзи сердца, был «зашифрован». Действия разработчика RIAEvangelist, поддерживающего также более 40 npm-пакетов, вызвали критику пользователей. Многие из них потеряли доверие к этому разработчику.