NPM izstrādātāji par pakotnes izņemšanu no krātuves jo tajā konstatēta ļaunprātīga darbība. Turklāt ekrānsaudzētāji ACSII grafikā ar varoni no spēles “Fall Guys: Ultimate Knockout”, norādītajā modulī bija kods, kas mēģināja pārsūtīt dažus sistēmas failus, izmantojot tīmekļa aizķeri, uz Discord Messenger. Modulis tika publicēts augusta sākumā, taču tam izdevās iegūt tikai 288 lejupielādes, pirms tas tika bloķēts.
Ļaunprātīgās darbības mērķis bija Windows lietotāju kompromitēšana. Ārēji tika pārsūtīti šādi faili, tostarp datu bāze ar navigācijas vēsturi pārlūkprogrammās, kuru pamatā ir Chromium dzinējs un Discord klients (tiek pieņemts, ka modulis tika bloķēts lietotāja datu vākšanas posmā un vienā var tikt piegādāts bīstamāks ļaunprātīgs kods no atjauninājumiem):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Avots: opennet.ru