NPM-i repositooriumist avastati kolm pahatahtlikku paketti – klow, klown ja okhsa. Need maskeerusid kasutajaagendi päise parsimiseks (kasutades UA-Parser-js teeki) ja sisaldasid pahatahtlikke modifikatsioone, mida kasutati krüptovaluuta kaevandamiseks kasutaja süsteemis. Paketid postitas üks kasutaja 15. oktoobril, kuid kolmanda osapoole uurijad avastasid need kohe ja teatasid probleemist NPM-i administratsioonile. Paketid eemaldati lõpuks avaldamise päeva jooksul, kuid neid oli juba kogunenud umbes 150 allalaadimist.
Ainsad otseselt pahatahtlikku koodi sisaldavad paketid olid paketid "klow" ja "klown", mida okhsa pakett kasutas sõltuvustena. Paketis "okhsa" oli ka kalkulaatori käivitamiseks vajalik tüvi. WindowsSõltuvalt praegusest platvormist laaditi kaevandamiseks mõeldud käivitatav fail kasutaja süsteemi väliselt hostist alla ja käivitati. Kaevandaja versioonid valmistati ette Linux, macOS и WindowsKäivitamisel edastati ühise kaevandamise basseini number, krüptorahakoti number ja arvutuste tegemiseks vajalike protsessori tuumade arv.
Allikas: opennet.ru
