Programiści NPM o usunięciu pakietu z repozytorium ze względu na wykrycie w nim szkodliwej aktywności. Oprócz wygaszacze ekranu w grafice ACSII z postacią z gry „Fall Guys: Ultimate Knockout”, wskazany moduł zawierał kod, który próbował przenieść niektóre pliki systemowe za pośrednictwem webhooka do komunikatora Discord. Moduł został opublikowany na początku sierpnia, ale udało mu się uzyskać jedynie 288 pobrań, zanim został zablokowany.
Celem szkodliwego działania było skompromitowanie użytkowników systemu Windows. Zewnętrznie przesłane zostały następujące pliki, w tym baza danych z historią nawigacji w przeglądarkach opartych na silniku Chromium i kliencie Discord (zakłada się, że moduł został zablokowany na etapie zbierania danych użytkownika i w jednym czasie mógł zostać dostarczony bardziej niebezpieczny złośliwy kod) aktualizacji):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Źródło: opennet.ru