Vývojáři NPM o odstranění balíčku z úložiště kvůli detekci škodlivé činnosti v něm. kromě spořiče obrazovky v ACSII grafice s postavou ze hry „Fall Guys: Ultimate Knockout“, specifikovaný modul obsahoval kód, který se pokusil přenést některé systémové soubory přes webhook do Discord messengeru. Modul byl zveřejněn na začátku srpna, ale podařilo se mu získat pouze 288 stažení, než byl zablokován.
Škodlivá aktivita byla zaměřena na ohrožení uživatelů Windows. Externě byly přeneseny následující soubory, včetně databáze s historií navigace v prohlížečích založených na enginu Chromium a klientovi Discord (předpokládá se, že modul byl ve fázi shromažďování uživatelských dat zablokován a nebezpečnější škodlivý kód mohl být doručen najednou z aktualizací):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Zdroj: opennet.ru