Razvijalci NPM-ja o odstranitvi paketa iz repozitorija zaradi odkritja zlonamerne dejavnosti v njem. Poleg tega Grafični uvodni zaslon ACSII z likom iz igre "Fall Guys: Ultimate Knockout" je vseboval kodo, ki je poskušala prenesti nekatere sistemske datoteke prek spletnega kavlja v program Discord Messenger. Modul je bil objavljen v začetku avgusta, vendar je uspel zbrati le 288 prenosov, preden je bil blokiran.
Вредоносная активность была нацелена на компрометацию пользователей Windows. Вовне передавались следующие файлы, включающие БД с историей навигации в браузерах на основе движка Chromium и клиенте Discord (предполагается, что модуль был блокирован на стадии сбора данных о пользователях и более опасный вредоносный код мог бы быть доставлен в одном из обновлений):
- /AppData/Local/Google/Chrome/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/Opera\x20Software/Opera\x20Stable/Local\x20Storage/leveldb
- /AppData/Local/Yandex/YandexBrowser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Local/BraveSoftware/Brave-Browser/User\x20Data/Default/Local\x20Storage/leveldb
- /AppData/Roaming/discord/Local\x20Storage/leveldb
Vir: opennet.ru
