Зловмисники зламали 1577 пакетів у репозиторії AURЗловмисники взяли на себе супровід пакетів, що мали статус "orphaned" і залишилися без супровідників. Як ім’я вказувалося ім’я останнього супровідника, але з іншою електронною адресою, після чого додавався один комміт і публікувалося оновлення. Коміт додавав "npm" до списку залежностей PKGBUILD (навіть якщо в програмах не використовуються JavaScript та NPM) і вставляв у блок post_install скрипта install.sh рядок для встановлення кількох пакетів NPM (серед яких atomic-lockfile або js-digest містили приховане шкідливе ПЗ). Після активації шкідливе ПЗ закріплювалося в системі у вигляді сервісу systemd із випадковою назвою, а під час виконання маскувалося під потік ядра. При запуску з правами root сервіс створювався на системному рівні й додатково активував rootkit, що працював на рівні ядра, а при виконанні з правами користувача - запускався від імені користувача.Шкідливе ПЗ здійснювало сканування та надсилання на зовнішній сервер ключів і облікових даних VPN, Docker, Podman та SSH, а також конфіденційних даних, витягнутих із браузера, історії команд у оболонці, ключів криптовалютних гаманців і токенів програм, створених на базі Electron (Slack, Microsoft Teams, Discord, GitHub, NPM та Vault).