У репозиторії NPM шкідлива активність у чотирьох пакетах, що включають preinstall-скрипт, який перед встановленням пакета відправляв на GitHub коментар з інформацією про IP-адресу, місцезнаходження, логіну, моделі CPU і домашній каталог користувача. Шкідливий код було знайдено у пакетах (255 завантажень), (78 завантажень), (48 завантажень) та (37 завантажень).
Проблемні пакети були розміщені в NPM з 17 по 24 серпня для поширення з використанням , тобто. з призначенням імен схожих на назви інших популярних бібліотек з розрахунком на те, що користувач допустить друкарську помилку при наборі імені або не помітить відмінностей, вибираючи модуль зі списку. Судячи з числа завантажень на цей прийом трапилося близько 400 користувачів, більша частина яка сплутала electorn з electron. В даний час пакети electorn та loadyaml адміністрацією NPM, а пакети lodashs та loadyml були видалені автором.
Мотиви зловмисників невідомі, але передбачається, що витік інформації через GitHub (коментар відправлявся через Issue і протягом доби видалявся) міг бути виконаний в ході експерименту для оцінки ефективності методу, або була запланована атака на кілька стадій, на першій з яких збиралися дані про жертви , а на другий, яка не була втілена в життя через блокування, зловмисники мали намір випускати оновлення з включенням у новий випуск більш небезпечного шкідливого коду або бекдору.
Джерело: opennet.ru