NPM-ontwikkelaars
De kwaadaardige activiteit was bedoeld om Windows-gebruikers in gevaar te brengen. De volgende bestanden zijn extern verzonden, waaronder een database met navigatiegeschiedenis in browsers op basis van de Chromium-engine en de Discord-client (aangenomen wordt dat de module werd geblokkeerd tijdens het verzamelen van gebruikersgegevens en dat er in één keer gevaarlijkere kwaadaardige code kon worden afgeleverd van de updates):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Bron: opennet.ru