مطوري NPM حول إزالة حزمة من المستودع بسبب اكتشاف نشاط ضار فيه. بجانب شاشات التوقف في رسومات ACSII مع شخصية من لعبة "Fall Guys: Ultimate Knockout"، تضمنت الوحدة المحددة رمزًا يحاول نقل بعض ملفات النظام عبر خطاف ويب إلى Discord messenger. تم نشر الوحدة في أوائل أغسطس، لكنها تمكنت من الحصول على 288 عملية تنزيل فقط قبل أن يتم حظرها.
كان النشاط الضار يهدف إلى اختراق مستخدمي Windows. تم نقل الملفات التالية خارجيًا، بما في ذلك قاعدة بيانات تحتوي على سجل التنقل في المتصفحات المستندة إلى محرك Chromium وعميل Discord (من المفترض أنه تم حظر الوحدة في مرحلة جمع بيانات المستخدم ويمكن تسليم تعليمات برمجية ضارة أكثر خطورة في خطوة واحدة من التحديثات):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
المصدر: opennet.ru