Programiści NPM
Celem szkodliwego działania było skompromitowanie użytkowników systemu Windows. Zewnętrznie przesłane zostały następujące pliki, w tym baza danych z historią nawigacji w przeglądarkach opartych na silniku Chromium i kliencie Discord (zakłada się, że moduł został zablokowany na etapie zbierania danych użytkownika i w jednym czasie mógł zostać dostarczony bardziej niebezpieczny złośliwy kod) aktualizacji):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Źródło: opennet.ru