NPM-utviklere om å fjerne en pakke fra depotet på grunn av påvisning av ondsinnet aktivitet i den. I tillegg skjermsparere i ACSII-grafikk med en karakter fra spillet "Fall Guys: Ultimate Knockout", den spesifiserte modulen inkluderte kode som prøvde å overføre noen systemfiler via en webhook til Discord-messengeren. Modulen ble publisert i begynnelsen av august, men rakk kun å få 288 nedlastinger før den ble blokkert.
Den ondsinnede aktiviteten var rettet mot å kompromittere Windows-brukere. Følgende filer ble overført eksternt, inkludert en database med navigasjonshistorikk i nettlesere basert på Chromium-motoren og Discord-klienten (det antas at modulen ble blokkert på tidspunktet for innsamling av brukerdata og farligere ondsinnet kode kunne leveres i en av oppdateringene):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Kilde: opennet.ru