تم التعرف على ثلاث حزم ضارة klow وklown وokhsa في مستودع NPM، والتي تختبئ خلف وظائف تحليل رأس وكيل المستخدم (تم استخدام نسخة من مكتبة UA-Parser-js)، وتحتوي على تغييرات ضارة تستخدم لتنظيم تعدين العملات المشفرة على نظام المستخدم. تم نشر الحزم بواسطة مستخدم واحد في 15 أكتوبر، ولكن تم التعرف عليها على الفور من قبل باحثين خارجيين قاموا بإبلاغ إدارة NPM بالمشكلة. ونتيجة لذلك، تمت إزالة الحزم خلال يوم واحد من النشر، لكنها تمكنت من الحصول على حوالي 150 عملية تنزيل.
تم تضمين التعليمات البرمجية الضارة بشكل مباشر فقط في حزمتي "klow" و"klown"، والتي تم استخدامها كتبعيات في حزمة okhsa. تتضمن حزمة "Okhsa" أيضًا كعب روتين لتشغيل الآلة الحاسبة على نظام التشغيل Windows. اعتمادًا على النظام الأساسي الحالي، تم تنزيل ملف قابل للتنفيذ للتعدين وإطلاقه على نظام المستخدم من مضيف خارجي. تم إعداد إصدارات Miner على Linux وmacOS وWindows. عند بدء التشغيل، تم إرسال عدد مجمع التعدين المشترك وعدد محفظة العملات المشفرة وعدد نوى وحدة المعالجة المركزية لإجراء العمليات الحسابية.
المصدر: opennet.ru