یک بسته مخرب در فهرست Node Package Manager با نام os-info-checker-es6 از کاراکترهای یونیکد نامرئی برای پنهان کردن کد مخرب و لینک‌های Google Calendar برای میزبانی آدرس کنترل و فرماندهی استفاده می‌کند. این بسته که بیش از ۱۰۰۰ بار دانلود شده، در ابتدا بی‌ضرر بود اما نسخه‌های بعدی آن شامل مکانیزم پیچیده C2 و کدهای مبهم شده است. محققان Veracode کشف کردند که مهاجم از تکنیک استگانوگرافی یونیکد استفاده کرده و داده‌ها را در کاراکترهای نامرئی از محدوده Variation Selectors Supplement پنهان کرده است.

پس از رمزگشایی، محققان دریافتند که بدافزار از لینک کوتاه Google Calendar برای دسترسی به محل نهایی payload استفاده می‌کند و پس از بررسی redirectها، یک URL کدگذاری شده base64 را از صفحه HTML رویداد استخراج می‌کند. این بسته همچنین به عنوان وابستگی در چهار بسته NPM دیگر فهرست شده و علی‌رغم گزارش به NPM، هنوز در پلتفرم موجود است. مکانیزم پایداری ساده‌ای در دایرکتوری موقت سیستم دارد و از اجرای چندین نمونه همزمان جلوگیری می‌کند.