Im NPM-Repository wurden drei Schadpakete klow, klown und okhsa entdeckt, die sich hinter der Funktionalität zum Parsen des User-Agent-Headers (es wurde eine Kopie der UA-Parser-js-Bibliothek verwendet) versteckten und bösartige Änderungen zur Organisation der Kryptowährung enthielten Mining auf dem System des Benutzers. Die Pakete wurden am 15. Oktober von einem einzelnen Benutzer gepostet, aber sofort von externen Forschern identifiziert, die das Problem der NPM-Verwaltung meldeten. Infolgedessen wurden die Pakete innerhalb eines Tages nach der Veröffentlichung entfernt, konnten jedoch etwa 150 Downloads verzeichnen.
Direkt schädlicher Code war nur in den Paketen „klow“ und „klown“ enthalten, die als Abhängigkeiten im Paket okhsa verwendet wurden. Das okhsa-Paket enthielt auch einen Stub, um den Rechner unter Windows auszuführen. Abhängig von der aktuellen Plattform wurde eine ausführbare Datei für das Mining heruntergeladen und von einem externen Host auf dem System des Benutzers gestartet. Miner-Builds wurden für Linux, macOS und Windows vorbereitet. Zum Start wurden die Nummer des Pools für Joint Mining, die Nummer des Krypto-Wallets und die Anzahl der CPU-Kerne zur Durchführung von Berechnungen übermittelt.
Source: opennet.ru