中國研究員Ze-Zheng Wu發現名為data.polyfill.com的GitHub程式碼儲存庫，從儲存庫的名稱來看，當中疑似含有Polyfill相關的資料。研究人員檢視其中的內容指出，經營此儲存庫的人士曝露了許多機敏資料，並向MalwareHunterTeam表示，這家宣稱是合法的中國公司，不僅買下了網域名稱polyfill[.]io，並在GitHub上洩露他們Cloudflare的「ApiToken」及「ZoneId」兩項資訊。

資安新聞網站Bleeping Computer進一步透露細節，對方公開了環境變數檔案（.ENV），從而曝露polyfill[.]io的Cloudflare API Token，以及區域ID，此外，他們還看到Algolia API金鑰等相關資料，甚至是舊版的.ENV，從而找到這些人士早期使用的MySQL帳密資料。

另一名使用ID名稱mdmck10的研究人員也針對這些資料進行調查，並指出對方採用非常嚴格的方式管制Token的用途，只能在特定的地理區域存取，研究人員透過其他區域嘗試，結果都是回傳403錯誤訊息。

除此之外，這名研究員也表示，根據對方使用的Cloudflare帳號，總共有bootcdn[.]net、bootcss[.]com、polyfill[.]io、staticfile[.]net、staticfile[.]org與之相關。換言之，這些從事供應鏈攻擊的駭客，至少使用了5個網域來進行有關攻擊行動。

而針對這起供應鏈攻擊發生的時間，澳洲資安鑑識員Nullify指出，很有可能可以追溯到去年6月。當時在中文論壇上，有專門討論影響bootcss[.]com的早期版本注入程式碼，當中提及名為check_tiaozhuan的函數功能。

資安新聞網站Bleeping Computer指出，上述的函數功能代表注入的惡意程式碼，他們進一步確認此事，約在去年6月20日有多個中文論壇的開發人員進行相關討論，試圖破解BootCSS內含的異常程式碼，並指出這些程式碼經過混淆處理，而名為check_tiaozhuan的函數功能，則會檢查瀏覽網站的使用者是否使用行動裝置，並將他們重新導向另一個網頁。

最早針對此事提出警告的資安業者Sansec也公布新的發現，他們指出對方至少從2023年6月發動供應鏈攻擊，藉此散布惡意軟體，當時這些駭客使用的網域，包括bootcdn[.]net、bootcss[.]com、staticfile[.]net、staticfile[.]org、unionadjs[.]com、xhsbpza[.]com、union.macoms[.]la、newcrbpc[.]com。