PhantomRavenは、インビジブル依存関係を利用して世界中の開発者からNPMトークンやGitHub認証情報を盗む126個の悪意あるNPMパッケージを指します。このマルウェアキャンペーンは2025年10月に発見され、最初に8月から始まっていました。これらのパッケージは、依存関係分析ツールが見逃すように構築されており、実際の悪意あるコードは可視パッケージではなく、外部URLから取得される隠れた依存関係にあります。この仕組みにより、セキュリティスキャナーは依存関係が無いと誤認し、開発者は危険にさらされています。また、攻撃者は毎回のインストールでコントロールしたサーバーから新しいコードを取得させることができ、ターゲティングを行うことが可能です。