NPM-Entwickler Informationen zum Entfernen eines Pakets aus dem Repository aufgrund der Entdeckung böswilliger Aktivitäten darin. Außerdem Bildschirmschoner in ACSII-Grafik mit einer Figur aus dem Spiel „Fall Guys: Ultimate Knockout“, das angegebene Modul enthielt Code, der versuchte, einige Systemdateien über einen Webhook an den Discord-Messenger zu übertragen. Das Modul wurde Anfang August veröffentlicht, konnte aber nur 288 Downloads erzielen, bevor es blockiert wurde.
Die bösartige Aktivität zielte darauf ab, Windows-Benutzer zu kompromittieren. Die folgenden Dateien wurden extern übertragen, darunter eine Datenbank mit dem Navigationsverlauf in Browsern, die auf der Chromium-Engine und dem Discord-Client basieren (es wird davon ausgegangen, dass das Modul beim Sammeln von Benutzerdaten blockiert wurde und gefährlicherer Schadcode in einem übermittelt werden könnte der Updates):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Source: opennet.ru