NPM izstrādātāji
Ļaunprātīgās darbības mērķis bija Windows lietotāju kompromitēšana. Ārēji tika pārsūtīti šādi faili, tostarp datu bāze ar navigācijas vēsturi pārlūkprogrammās, kuru pamatā ir Chromium dzinējs un Discord klients (tiek pieņemts, ka modulis tika bloķēts lietotāja datu vākšanas posmā un vienā var tikt piegādāts bīstamāks ļaunprātīgs kods no atjauninājumiem):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Avots: opennet.ru