Se detectaron tres paquetes maliciosos klow, klown y okhsa en el repositorio de NPM, que, escondidos detrás de la funcionalidad para analizar el encabezado User-Agent (se usó una copia de la biblioteca UA-Parser-js), contenían cambios maliciosos utilizados para organizar la criptomoneda minería en el sistema del usuario. Los paquetes fueron publicados por un solo usuario el 15 de octubre, pero fueron identificados de inmediato por investigadores externos que informaron el problema a la administración de NPM. Como resultado, los paquetes se eliminaron un día después de la publicación, pero lograron acumular alrededor de 150 descargas.
El código directamente malicioso estaba contenido solo en los paquetes "klow" y "klown", que se usaban como dependencias en el paquete okhsa. El paquete okhsa también tenía un código auxiliar para ejecutar la calculadora en Windows. Dependiendo de la plataforma actual, se descargaba un archivo ejecutable para minería y se ejecutaba en el sistema del usuario desde un host externo. Las compilaciones de Miner se han preparado para Linux, macOS y Windows. En el lanzamiento, se transmitieron el número del grupo para la minería conjunta, el número de la billetera criptográfica y el número de núcleos de CPU para realizar los cálculos.
Fuente: opennet.ru