NPM-kehittäjät
Haitallisen toiminnan tarkoituksena oli Windows-käyttäjien vaarantaminen. Seuraavat tiedostot välitettiin ulkoisesti, mukaan lukien tietokanta, jossa on navigointihistoria Chromium-moottoriin ja Discord-asiakasohjelmaan perustuvissa selaimissa (oletetaan, että moduuli oli estetty käyttäjätietojen keräämisvaiheessa ja vaarallisempaa haittakoodia voitiin toimittaa yhdessä päivityksistä):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Tallennus/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Lähde: opennet.ru