Vývojári NPM o odstránení balíka z úložiska z dôvodu odhalenia škodlivej činnosti v ňom. Okrem toho šetriče obrazovky v ACSII grafike s postavou z hry „Fall Guys: Ultimate Knockout“, špecifikovaný modul obsahoval kód, ktorý sa pokúšal preniesť niektoré systémové súbory cez webhook do Discord messenger. Modul bol zverejnený začiatkom augusta, ale pred zablokovaním sa mu podarilo získať iba 288 stiahnutí.
Škodlivá aktivita bola zameraná na kompromitovanie používateľov systému Windows. Externe boli prenesené nasledujúce súbory vrátane databázy s históriou navigácie v prehliadačoch založených na jadre Chromium a klientovi Discord (predpokladá sa, že modul bol zablokovaný vo fáze zhromažďovania používateľských údajov a nebezpečnejší škodlivý kód mohol byť doručený v jednom z aktualizácií):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Zdroj: opennet.ru