Al parecer, los arrestos se pudieron llevar a cabo gracias a que las autoridades francesas pudieron rastrear los pagos realizados por las víctimas a los autores del ransomware. A partir de dicho rastreo se detectó que dichos pagos eran recibidos por varios individuos que vivían en Ukrania
Para llevar a cabo el ataque, Birsan comenzó recopilando nombres de paquetes internos privados utilizados por las principales empresas fuera de GitHub, publicaciones en varios foros de Internet y archivos JavaScript que enumeran las dependencias de un proyecto, y luego cargó bibliotecas no autorizadas con esos mismos nombres a los repositorios de código abierto, servicios de alojamiento de paquetes como npm, PyPI y RubyGems.
El impacto potencial para usuarios y empresas es muy grande, debido a que la mayoría de los primeros reutilizan sus contraseñas y nombres de usuario en varias cuentas. Es decir, que los ataques que se centren en estos usuarios serán los más efectivos.