سه بسته مخرب klow، klown و okhsa در مخزن NPM شناسایی شدند، که در پشت قابلیت تجزیه سربرگ User-Agent (نسخه ای از کتابخانه UA-Parser-js استفاده شد)، حاوی تغییرات مخربی بود که برای سازماندهی استخراج ارزهای دیجیتال استفاده می شد. روی سیستم کاربر این بستهها توسط یک کاربر در 15 اکتبر ارسال شد، اما بلافاصله توسط محققان شخص ثالث شناسایی شدند و مشکل را به اداره NPM گزارش کردند. در نتیجه، بسته ها ظرف یک روز پس از انتشار حذف شدند، اما توانستند حدود 150 بار دانلود کنند.
کدهای مخرب مستقیم فقط در بسته های "klow" و "klown" وجود داشت که به عنوان وابستگی در بسته oksa استفاده می شدند. بسته "oksa" همچنین شامل یک خرد برای اجرای ماشین حساب در ویندوز بود. بسته به پلتفرم فعلی، یک فایل اجرایی برای ماینینگ دانلود و از یک میزبان خارجی بر روی سیستم کاربر راه اندازی شد. بیلدهای ماینر روی لینوکس، macOS و ویندوز آماده شدند. در راه اندازی، تعداد استخر برای استخراج مشترک، تعداد کیف پول رمزنگاری و تعداد هسته های CPU برای انجام محاسبات مخابره شد.
منبع: opennet.ru