NPM-utviklere
Den ondsinnede aktiviteten var rettet mot å kompromittere Windows-brukere. Følgende filer ble overført eksternt, inkludert en database med navigasjonshistorikk i nettlesere basert på Chromium-motoren og Discord-klienten (det antas at modulen ble blokkert på tidspunktet for innsamling av brukerdata og farligere ondsinnet kode kunne leveres i en av oppdateringene):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Kilde: opennet.ru