У рэпазітары NPM выяўлены тры шкоднасных пакета klow, klown і okhsa, якія затуляючыся функцыянальнасцю для разбору загалоўка User-Agent (выкарыстоўвалася копія бібліятэкі UA-Parser-js) утрымоўвалі шкоднасныя змены, ужывальныя для арганізацыі майнінгу криптовалют на сістэме карыстача. Пакеты былі размешчаны адным карыстальнікам 15 кастрычніка, але адразу выяўлены іншымі даследчыкамі, якія паведамілі аб праблеме адміністрацыі NPM. У выніку пакеты былі выдаленыя цягам дня пасля публікацыі, але паспелі набраць каля 150 загрузак.
Наўпрост шкоднасны код утрымоўваўся толькі ў пакетах "klow" і "klown", якія выкарыстоўваліся ў пакеце okhsa у якасці залежнасцяў. У пакеце "okhsa" таксама мелася заглушка для запуску калькулятара ў Windows. У залежнасці ад бягучай платформы на сістэму карыстальніка з вонкавага хаста загружаўся і запускаўся выкананы файл для майнінгу. Зборкі майнера былі падрыхтаваны ў Linux, macOS і Windows. Пры запуску перадаваўся нумар пула для сумеснага майнінгу, нумар крыптакашалька і колькасць ядраў CPU для выканання вылічэнняў.
Крыніца: opennet.ru