Vývojári NPM
Škodlivá aktivita bola zameraná na kompromitovanie používateľov systému Windows. Externe boli prenesené nasledujúce súbory vrátane databázy s históriou navigácie v prehliadačoch založených na jadre Chromium a klientovi Discord (predpokladá sa, že modul bol zablokovaný vo fáze zhromažďovania používateľských údajov a nebezpečnejší škodlivý kód mohol byť doručený v jednom z aktualizácií):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Zdroj: opennet.ru