Три злонамерени пакета klow, klown и okhsa бяха идентифицирани в хранилището на NPM, които, криейки се зад функционалност за анализиране на заглавката на User-Agent (използвано беше копие на библиотеката UA-Parser-js), съдържаха злонамерени промени, използвани за организиране на копаене на криптовалута в системата на потребителя. Пакетите бяха публикувани от един потребител на 15 октомври, но веднага бяха идентифицирани от изследователи на трети страни, които докладваха за проблема на администрацията на NPM. В резултат на това пакетите бяха премахнати в рамките на един ден след публикуването, но успяха да получат около 150 изтегляния.
Директно зловреден код се съдържаше само в пакетите „klow“ и „klown“, които бяха използвани като зависимости в пакета okhsa. Пакетът "okhsa" също включваше мъниче за стартиране на калкулатора в Windows. В зависимост от текущата платформа, изпълним файл за копаене беше изтеглен и стартиран в системата на потребителя от външен хост. Изгражданията на миньорите бяха подготвени на Linux, macOS и Windows. При стартиране бяха предадени номерът на пула за съвместно копаене, номерът на крипто портфейла и броят на процесорните ядра за извършване на изчисления.
Източник: opennet.ru