Es van identificar tres paquets maliciosos klow, klown i okhsa al repositori NPM, que, amagat darrere de la funcionalitat per analitzar la capçalera User-Agent (es va utilitzar una còpia de la biblioteca UA-Parser-js), contenien canvis maliciosos utilitzats per organitzar la mineria de criptomoneda. al sistema de l'usuari. Els paquets van ser publicats per un sol usuari el 15 d'octubre, però van ser identificats immediatament per investigadors de tercers que van informar del problema a l'administració de NPM. Com a resultat, els paquets es van eliminar en un dia després de la publicació, però van aconseguir obtenir unes 150 descàrregues.
El codi directament maliciós només estava contingut als paquets "klow" i "klown", que s'utilitzaven com a dependències al paquet okhsa. El paquet "okhsa" també incloïa un taló per executar la calculadora a Windows. Depenent de la plataforma actual, es va descarregar un fitxer executable per a la mineria i es va llançar al sistema de l'usuari des d'un host extern. Les compilacions de miners es van preparar a Linux, macOS i Windows. A l'inici, es va transmetre el nombre del grup per a la mineria conjunta, el nombre de la cartera criptogràfica i el nombre de nuclis de CPU per realitzar càlculs.
Font: opennet.ru