Tre ondsindede pakker klow, klown og okhsa blev identificeret i NPM-lageret, som gemte sig bag funktionalitet til at parse User-Agent-headeren (en kopi af UA-Parser-js-biblioteket blev brugt), indeholdt ondsindede ændringer, der blev brugt til at organisere cryptocurrency-mining på brugerens system. Pakkerne blev sendt af en enkelt bruger den 15. oktober, men blev straks identificeret af tredjepartsforskere, som rapporterede problemet til NPM-administrationen. Som et resultat blev pakkerne fjernet inden for en dag efter offentliggørelsen, men det lykkedes at få omkring 150 downloads.
Direkte ondsindet kode var kun indeholdt i "klow"- og "klown"-pakkerne, som blev brugt som afhængigheder i okhsa-pakken. "Okhsa"-pakken inkluderede også en stump til at køre lommeregneren på Windows. Afhængigt af den aktuelle platform blev en eksekverbar fil til minedrift downloadet og lanceret på brugerens system fra en ekstern vært. Miner builds blev forberedt på Linux, macOS og Windows. Ved opstart blev nummeret på puljen til fælles minedrift, antallet af kryptopungen og antallet af CPU-kerner til udførelse af beregninger overført.
Kilde: opennet.ru