Без понятия , я не кодер , так скажем  уровень умелого  юзера линукс  .
Подробности не говорят пока , сообщили  просто  проектам кто мог тоже попасть.
Некий npm модуль добавляли примерно после января 2019 вот кто  входил в кошель любым способом   через этот модуль мог светить ключи крадунам.
И еще некая node.js библиотека упоминалась ,  хз может это одно и тоже  . С разрабами этой  софтины тоже связались,  биржам сообщили ,  разбираются.
Шеф сказал  в жизни  больше  софт подобного рода от третьих производителей  не будут использовать.