NPM Entwéckler
Déi béiswëlleg Aktivitéit war zielt fir Windows Benotzer ze kompromittéieren. Déi folgend Dateie goufen extern iwwerdroen, dorënner eng Datebank mat Navigatiounsgeschicht a Browser baséiert op dem Chromium-Motor an dem Discord Client (et gëtt ugeholl datt de Modul an der Bühn vun der Sammlung vun Benotzerdaten blockéiert gouf a méi geféierleche béiswëlleg Code konnt an engem geliwwert ginn vun den Updates):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Source: opennet.ru