Mga Nag-develop sa NPM mahitungod sa pagtangtang sa usa ka pakete gikan sa repository tungod sa pagkakita sa malisyosong kalihokan niini. Gawas pa mga screensaver sa ACSII graphics nga adunay karakter gikan sa dula nga "Fall Guys: Ultimate Knockout", ang piho nga module naglakip sa code nga misulay sa pagbalhin sa pipila ka mga file sa sistema pinaagi sa usa ka webhook ngadto sa Discord messenger. Ang module gimantala sa sayong bahin sa Agosto, apan nakahimo lamang sa pagkuha sa 288 nga mga pag-download sa wala pa kini gibabagan.
Ang malisyosong kalihokan gitumong sa pagkompromiso sa mga tiggamit sa Windows. Ang mosunud nga mga file gipasa sa gawas, lakip ang database nga adunay kasaysayan sa pag-navigate sa mga browser nga gibase sa makina sa Chromium ug kliyente sa Discord (gihunahuna nga ang module gibabagan sa yugto sa pagkolekta sa datos sa gumagamit ug labi ka peligro nga malisyoso nga code mahimong ihatud sa usa sa mga update):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Source: opennet.ru