3月底研究人员发现XZ Utils后门的供应链攻击，该攻击被植入的程式码以CVE-2024-3094列管，当时初步确认部分版本Linux作业系统的SSHD（Secure Shell Daemon）受到波及，但也有研究人员提出警告，对方使用的手法极为精密，相关的程式码及手法将会用于发起其他攻击行动。

开源专案人力资源缺乏是常久以来的现象，若是有人愿意出手协助处理臭虫或是资安漏洞，照理来说，可说是求之不得。但在上述供应链攻击之后，开源界也开始担忧，攻击者有可能假借协助的名义成为专案的维护者，并打算等到时机成熟再暗中埋入恶意程式码。

4月15日OpenJS基金会收到一系列的电子邮件，指出他们代管的热门JavaScript专案存在危急（Critical）漏洞，要求该委员会采取行动，并指派他们成为该专案的维护者著手处理，但究竟这项专案存在的漏洞为何，对方并未进一步说明。

OpenJS提到，这些信件虽然寄件人的名字都不同，但他们的电子邮件信箱与GitHub有关，且有所交集。他们怀疑对方企图依循发动XZ及liblzma供应链攻击模式，趁机混入专案维护团队，待时机成熟才发动攻击。对此，他们依循OpenJS专案的资安政策，并未授予这些用户相关权限。

值得留意的是，OpenJS又在两个非基金会代管的JavaScript专案察觉类似的攻击手法，他们向专案负责人及美国网路安全暨基础设施安全局（CISA）通报此事。而与XZ Utils供应链攻击相关的事故已非首例，之前资安业者Phylum发现，有人对以程式语言Rust实作的liblzma程式库发动供应链攻击，部署XZ后门程式。