Trois packages malveillants klow, klown et okhsa ont été identifiés dans le référentiel NPM, qui, cachés derrière la fonctionnalité d'analyse de l'en-tête User-Agent (une copie de la bibliothèque UA-Parser-js a été utilisée), contenaient des modifications malveillantes utilisées pour organiser l'extraction de crypto-monnaie. sur le système de l'utilisateur. Les packages ont été publiés par un seul utilisateur le 15 octobre, mais ont été immédiatement identifiés par des chercheurs tiers qui ont signalé le problème à l'administration de NPM. En conséquence, les packages ont été supprimés un jour après leur publication, mais ont réussi à obtenir environ 150 téléchargements.
Le code directement malveillant n'était contenu que dans les packages « klow » et « klown », qui étaient utilisés comme dépendances dans le package okhsa. Le package "okhsa" comprenait également un stub pour exécuter la calculatrice sous Windows. En fonction de la plate-forme actuelle, un fichier exécutable pour le minage a été téléchargé et lancé sur le système de l'utilisateur à partir d'un hôte externe. Les versions de mineurs ont été préparées sur Linux, macOS et Windows. Au démarrage, le numéro du pool pour le minage commun, le numéro du portefeuille crypto et le nombre de cœurs CPU pour effectuer les calculs ont été transmis.
Source: opennet.ru