Vývojáři NPM
Škodlivá aktivita byla zaměřena na ohrožení uživatelů Windows. Externě byly přeneseny následující soubory, včetně databáze s historií navigace v prohlížečích založených na enginu Chromium a klientovi Discord (předpokládá se, že modul byl ve fázi shromažďování uživatelských dat zablokován a nebezpečnější škodlivý kód mohl být doručen najednou z aktualizací):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Zdroj: opennet.ru