Nos pacotes SRM-Front-Util e Pingan-Vue flutuando, o URL é definido como o IP 62 [.] 234 [.] 32 [.] 226.Caso contrário, ele chama CreateTempFile ():
Esta função obtém a hora atual como uma string formatada como $ {ano}-$ {mês}-$ {dia} $ {hours}: $ {minims} e simplesmente o grava no arquivo temp node_logs.txt.No entanto, nesse caso, nenhum outro script ou módulo faz referência a essas funções, sugerindo um potencial esforço de ofuscação para desviar a atenção das últimas aproximadamente 100 linhas do arquivo.Primeiro, algumas informações da máquina host são coletadas, como o nome do host, a plataforma do sistema operacional e a máquina exclusiva, é o GUID fornecido pela biblioteca de nó-máquina-ID.Durante esse período, o domínio teve um recorde de A apontando para 166.88.19.180, que existe no AS18779 ASN, um ASN com comportamentos históricos para hospedagem de malware.
Fonte: https://blog.phylum.io/sophisticated-highly-targeted-attacks-continue-to-plague-npm/