Desenvolvedores NPM sobre como remover um pacote do repositório devido à detecção de atividade maliciosa nele. Além do mais protetores de tela em gráficos ACSII com personagem do jogo “Fall Guys: Ultimate Knockout”, o módulo especificado incluía código que tentava transferir alguns arquivos do sistema através de um webhook para o mensageiro Discord. O módulo foi publicado no início de agosto, mas só conseguiu 288 downloads antes de ser bloqueado.
A atividade maliciosa tinha como objetivo comprometer os usuários do Windows. Os seguintes arquivos foram transmitidos externamente, incluindo um banco de dados com histórico de navegação em navegadores baseados no motor Chromium e no cliente Discord (presume-se que o módulo foi bloqueado na fase de coleta de dados do usuário e códigos maliciosos mais perigosos poderiam ser entregues em um das atualizações):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Fonte: opennet.ru