Er is een malafide npm-package ontdekt die Discord- en browsergegevens van gebruikers probeerde te stelen, zo blijkt uit een advisory van het npm Security Team. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages.

Op 25 augustus kwam het npm Security Team met de waarschuwing dat een npm-package genaamd fallguys kwaadaardige code bevatte. De software deed zich voor als een library waarmee gebruikers data van het spel Fall Guys: Ultimate Knockout konden verzamelen. Fall Guys is een populaire online multiplayer party game. Via de npm-package, die door een onbekende ontwikkelaar werd ontwikkeld, zouden gebruikers allerlei data van het spel kunnen verzamelen, zoals outfits, patronen en kleuren.

In werkelijkheid zocht de npm-package naar lokale databasebestanden van Brave, Google Chrome, Opera en Yandex en chatplatform Discord. Deze databasebestanden bevatten informatie die door de browser is opgeslagen, waaronder data van door de gebruiker gebruikte webapplicaties. De data werd vervolgens via een Discord-kanaal naar de package-ontwikkelaar gestuurd.

De fallguys-package is in totaal zo'n driehonderd keer gedownload voordat die werd verwijderd, zo blijkt uit cijfers van de npm-repository. Gebruikers die de software hebben gedownload wordt aangeraden die te verwijderen en eventueel gecompromitteerde inloggegeven te wijzigen.