Sviluppatori NPM
L'attività dannosa aveva lo scopo di compromettere gli utenti Windows. I seguenti file sono stati trasmessi esternamente, incluso un database con cronologia di navigazione nei browser basati sul motore Chromium e sul client Discord (si presume che il modulo sia stato bloccato nella fase di raccolta dei dati dell'utente e che codice dannoso più pericoloso potesse essere consegnato in uno degli aggiornamenti):
- /AppData/Locale/Google/Chrome/Utente\x20Data/Default/Locale\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Locale/Yandex/YandexBrowser/Utente\x20Data/Default/Locale\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/Utente\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Fonte: opennet.ru