NPM Developers o uklanjanju paketa iz spremišta zbog otkrivanja zlonamjerne aktivnosti u njemu. Osim toga screensaver u ACSII grafici sa likom iz igre “Fall Guys: Ultimate Knockout”, navedeni modul je uključivao kod koji je pokušao prebaciti neke sistemske datoteke putem webhooka u Discord messenger. Modul je objavljen početkom avgusta, ali je uspio dobiti samo 288 preuzimanja prije nego što je blokiran.
Zlonamjerna aktivnost imala je za cilj kompromitaciju korisnika Windowsa. Sljedeće datoteke su prenesene eksterno, uključujući bazu podataka sa istorijom navigacije u pretraživačima baziranim na Chromium engine-u i Discord klijentu (pretpostavlja se da je modul blokiran u fazi prikupljanja korisničkih podataka i opasniji zlonamjerni kod bi mogao biti isporučen u jednom ažuriranja):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
izvor: opennet.ru