В репозитории NPM выявлено 17 вредоносных пакетов, которые распространялись с использованием тайпсквоттинга, т.е. с назначением имён похожих на названия популярных библиотек с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка.
Пакеты discord-selfbot-v14, discord-lofy, discordsystem и
discord-vilao использовали модифицированный вариант легитимной библиотеки discord.js, предоставляющей функции для взаимодействия с API Discord. Вредоносные компоненты были интегрированы в один из файлов пакета и включали около 4000 строк кода, запутанного с использованием искажения имён переменных, шифрования строк и нарушения форматирования кода. Код сканировал локальную ФС на предмет токенов
Discord и в случае выявления отправлял их на сервер злоумышленников.
Пакет fix-error был заявлен как исправляющий ошибки в Discord selfbot, но включал троянское приложение PirateStealer, осуществляющее кражу номеров кредитных карт и учётных записей, связанных с Discord. Вредоносный компонент активировался через подстановку JavaScript-кода в клиент Discord.
Пакет prerequests-xcode включал троян для организации удалённого доступа к системе пользователя, основанный на Python-приложении DiscordRAT.
Предполагается, что доступ к серверам Discord мог потребоваться злоумышленникам для развёртывания точек управления ботнетом, в качестве прокси для загрузки информации со взломанных систем, запутывания следов при совершении атак, распространения вредоносного ПО среди пользователей Discord или перепродажи премиальных аккаунтов.
Пакеты wafer-bind, wafer-autocomplete,
wafer-beacon,
wafer-caas,
wafer-toggle,
wafer-geolocation,
wafer-image,
wafer-form,
wafer-lightbox,
octavius-public и mrg-message-broker включали код для отправки содержимого переменных окружения, которые, например, могли включать ключи доступа, токены или пароли к системам непрерывной интеграции или облачным окружениям, таким как AWS.