Распрацоўнікі NPM аб выдаленні з рэпазітара пакета з-за выяўленні ў ім шкоднаснай актыўнасці. Апроч застаўкі ў ACSII-графіцы з персанажам гульні "Fall Guys: Ultimate Knockout", паказаны модуль уключаў код, які спрабуе перадаваць некаторыя сістэмныя файлы праз webhook да месэнджэра Discord. Модуль быў апублікаваны ў пачатку жніўня, але здолеў набраць толькі 288 загрузак, перш чым быў блакіраваны.
Шкоднасная актыўнасць была накіравана на кампраметацыю карыстачоў Windows. Па-за перадаваліся наступныя файлы, якія ўключаюць БД з гісторыяй навігацыі ў браўзэрах на аснове рухавічка Chromium і кліенце Discord (мяркуецца, што модуль быў блакіраваны на стадыі збору дадзеных аб карыстачах і больш небяспечны шкоднасны код мог бы быць дастаўлены ў адным з абнаўленняў):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Operax20Software/Operax20Stable/Localx20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Localx20Storage/leveldb
Крыніца: opennet.ru