Τρία κακόβουλα πακέτα klow, klown και okhsa εντοπίστηκαν στο αποθετήριο NPM, το οποίο κρύβεται πίσω από τη λειτουργία ανάλυσης της κεφαλίδας User-Agent (χρησιμοποιήθηκε ένα αντίγραφο της βιβλιοθήκης UA-Parser-js), περιείχε κακόβουλες αλλαγές που χρησιμοποιούνται για την οργάνωση της εξόρυξης κρυπτονομισμάτων στο σύστημα του χρήστη. Τα πακέτα δημοσιεύτηκαν από έναν μόνο χρήστη στις 15 Οκτωβρίου, αλλά αναγνωρίστηκαν αμέσως από τρίτους ερευνητές που ανέφεραν το πρόβλημα στη διοίκηση του NPM. Ως αποτέλεσμα, τα πακέτα αφαιρέθηκαν μέσα σε μια ημέρα από τη δημοσίευσή τους, αλλά κατάφεραν να κερδίσουν περίπου 150 λήψεις.
Ο άμεσα κακόβουλος κώδικας περιείχε μόνο τα πακέτα "klow" και "klown", τα οποία χρησιμοποιήθηκαν ως εξαρτήσεις στο πακέτο okhsa. Το πακέτο "okhsa" περιλάμβανε επίσης ένα στέλεχος για την εκτέλεση της αριθμομηχανής στα Windows. Ανάλογα με την τρέχουσα πλατφόρμα, έγινε λήψη ενός εκτελέσιμου αρχείου για εξόρυξη και εκκίνησης στο σύστημα του χρήστη από έναν εξωτερικό κεντρικό υπολογιστή. Οι εκδόσεις Miner προετοιμάστηκαν σε Linux, macOS και Windows. Κατά την εκκίνηση, μεταδόθηκε ο αριθμός του pool για κοινή εξόρυξη, ο αριθμός του πορτοφολιού κρυπτογράφησης και ο αριθμός των πυρήνων της CPU για την εκτέλεση υπολογισμών.
Πηγή: opennet.ru