Desenvolvedores NPM
A atividade maliciosa tinha como objetivo comprometer os usuários do Windows. Os seguintes arquivos foram transmitidos externamente, incluindo um banco de dados com histórico de navegação em navegadores baseados no motor Chromium e no cliente Discord (presume-se que o módulo foi bloqueado na fase de coleta de dados do usuário e códigos maliciosos mais perigosos poderiam ser entregues em um das atualizações):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Fonte: opennet.ru