Développeurs NPM à propos de la suppression d'un package du référentiel en raison de la détection d’activités malveillantes. En plus économiseurs d'écran en graphiques ACSII avec un personnage du jeu "Fall Guys: Ultimate Knockout", le module spécifié incluait du code qui tentait de transférer certains fichiers système via un webhook vers le messager Discord. Le module a été publié début août, mais n'a réussi à obtenir que 288 téléchargements avant d'être bloqué.
L'activité malveillante visait à compromettre les utilisateurs Windows. Les fichiers suivants ont été transmis en externe, y compris une base de données avec l'historique de navigation dans les navigateurs basés sur le moteur Chromium et le client Discord (on suppose que le module a été bloqué au stade de la collecte des données utilisateur et qu'un code malveillant plus dangereux pourrait être livré en un seul des mises à jour) :
- / AppData / Local / Google / Chrome / User \ x20Data / Default / Local \ x20Storage / leveldb
- / AppData / Roaming / Opera \ x20Software / Opera \ x20Stable / Local \ x20Storage / leveldb
- / AppData / Local / Yandex / YandexBrowser / User \ x20Data / Default / Local \ x20Storage / leveldb
- / AppData / Local / BraveSoftware / Brave-Browser / User \ x20Data / Default / Local \ x20Storage / leveldb
- / AppData / Roaming / discord / Local \ x20Storage / leveldb
Source: opennet.ru