Дослідники виявили шкідливу кампанію в реєстрі npm: фейкові пакети, що імітують Solara Executor, крадуть токени Discord, криптогаманці та інші облікові дані. Пакети поширюються під привабливими назвами, жертви – переважно геймери та молоді розробники встановлюють їх, вважаючи, що це легітимний інструмент. Після інсталяції шкідливе ПЗ виконує кейлогінг, викрадає сесії Discord, витягує seed-фрази гаманців та передає дані на командно-контрольні сервери. Кампанія активна з початку березня, кількість завантажень сягає сотень.

Пакети маскуються під популярний Solara Executor — інструмент для виконання скриптів у Roblox, який має велику аудиторію серед підлітків та молодих розробників. Зловмисники використовують назви на кшталт solara-executor-helper, solara-updater тощо, що добре ранжуються в пошуку npm. Після запуску шкідливий код завантажує додаткові модулі для викрадення токенів із локальних файлів Discord та seed-фраз із розширень браузера. Дослідники зафіксували командно-контрольні сервери на доменах, зареєстрованих у лютому 2026 року.