NPM-arkistosta tunnistettiin kolme haitallista pakettia klow, klown ja okhsa, jotka piiloutuen User-Agent-otsikon jäsennystoimintojen taakse (käytettiin kopiota UA-Parser-js-kirjastosta) sisälsivät haitallisia muutoksia, joita käytettiin kryptovaluutan louhinnan järjestämiseen. käyttäjän järjestelmässä. Yksi käyttäjä lähetti paketit 15. lokakuuta, mutta kolmannen osapuolen tutkijat tunnistivat ne välittömästi, ja ilmoittivat ongelmasta NPM-hallinnolle. Tämän seurauksena paketit poistettiin vuorokauden sisällä julkaisusta, mutta onnistuivat saamaan noin 150 latausta.
Suoraan haitallista koodia sisältyi vain "klow"- ja "klown"-paketteihin, joita käytettiin riippuvuuksina okhsa-paketissa. "okhsa"-paketti sisälsi myös osan laskimen suorittamiseksi Windowsissa. Nykyisestä alustasta riippuen suoritettava tiedosto kaivostyötä varten ladattiin ja käynnistettiin käyttäjän järjestelmään ulkoisesta isännästä. Miner-versiot valmistettiin Linuxille, macOS:lle ja Windowsille. Käynnistettäessä välitettiin yhteislouhinnan poolin numero, kryptolompakon numero ja suorittimen ytimien lukumäärä laskelmien suorittamista varten.
Lähde: opennet.ru