OpenJS 基金会发出警告，称 XZ 后门事件可能不是一起孤立事件。在 XZ 事件中，攻击者 Jia Tan（化名）潜伏长达两年多时间，最终获得信任成为项目的共同维护者。OpenJS 基金会称，他们观察到了类似的行动，他们收到了一系列邮件，要求基金会采取行动更换其管理的流行 JavaScript 项目的维护者，以解决高危漏洞。邮件使用了 GitHub 关联邮箱。这和 XZ 项目维护者 Lasse Collin 收到的施压邮件十分相似。类似事件凸显了快速发展的开源生态系统所面临的安全风险，尤其是今天软件的依赖关系错综复杂。

https://socket.dev/blog/openjs-xz-utils-cyberattack-likely-not-an-isolated-incident
https://openjsf.org/blog/openssf-openjs-alert-social-engineering-takeovers