V úložišti NPM byly identifikovány tři škodlivé balíčky klow, klown a okhsa, které, skrývající se za funkčností pro analýzu hlavičky User-Agent (byla použita kopie knihovny UA-Parser-js), obsahovaly škodlivé změny používané k organizaci těžby kryptoměn. v systému uživatele. Balíčky byly zaslány jediným uživatelem 15. října, ale byly okamžitě identifikovány výzkumníky třetích stran, kteří problém nahlásili správě NPM. V důsledku toho byly balíčky odstraněny během jednoho dne po zveřejnění, ale podařilo se jim získat asi 150 stažení.
Přímo škodlivý kód byl obsažen pouze v balíčcích „klow“ a „klown“, které byly použity jako závislosti v balíčku okhsa. Balíček "okhsa" také obsahoval útržek pro spuštění kalkulačky ve Windows. V závislosti na aktuální platformě byl stažen spustitelný soubor pro těžbu a spuštěn do systému uživatele z externího hostitele. Sestavení Mineru byla připravena na Linuxu, macOS a Windows. Při spuštění se přenášelo číslo fondu pro společnou těžbu, číslo kryptopeněženky a počet jader CPU pro provádění výpočtů.
Zdroj: opennet.ru