NPM-ontwikkelaars over het verwijderen van een pakket uit de repository vanwege de detectie van kwaadaardige activiteiten daarin. Daarnaast screensavers in ACSII-graphics met een personage uit het spel "Fall Guys: Ultimate Knockout", de opgegeven module bevatte code die probeerde enkele systeembestanden via een webhook over te dragen naar de Discord-messenger. De module werd begin augustus gepubliceerd, maar kreeg slechts 288 downloads voordat deze werd geblokkeerd.
De kwaadaardige activiteit was bedoeld om Windows-gebruikers in gevaar te brengen. De volgende bestanden zijn extern verzonden, waaronder een database met navigatiegeschiedenis in browsers op basis van de Chromium-engine en de Discord-client (aangenomen wordt dat de module werd geblokkeerd tijdens het verzamelen van gebruikersgegevens en dat er in één keer gevaarlijkere kwaadaardige code kon worden afgeleverd van de updates):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Bron: opennet.ru