Распрацоўнікі NPM
Шкоднасная актыўнасць была накіравана на кампраметацыю карыстачоў Windows. Па-за перадаваліся наступныя файлы, якія ўключаюць БД з гісторыяй навігацыі ў браўзэрах на аснове рухавічка Chromium і кліенце Discord (мяркуецца, што модуль быў блакіраваны на стадыі збору дадзеных аб карыстачах і больш небяспечны шкоднасны код мог бы быць дастаўлены ў адным з абнаўленняў):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Operax20Software/Operax20Stable/Localx20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Localx20Storage/leveldb
Крыніца: opennet.ru