Identificáronse tres paquetes maliciosos klow, klown e okhsa no repositorio de NPM, que, escondidos detrás da funcionalidade para analizar a cabeceira User-Agent (usouse unha copia da biblioteca UA-Parser-js), contiña cambios maliciosos utilizados para organizar a minería de criptomonedas. no sistema do usuario. Os paquetes foron publicados por un único usuario o 15 de outubro, pero foron inmediatamente identificados por investigadores de terceiros que informaron do problema á administración de NPM. Como resultado, os paquetes foron eliminados nun día despois da publicación, pero conseguiron unhas 150 descargas.
O código directamente malicioso só estaba contido nos paquetes "klow" e "klown", que se usaban como dependencias no paquete okhsa. O paquete "okhsa" tamén incluía un esbozo para executar a calculadora en Windows. Dependendo da plataforma actual, descargouse un ficheiro executable para a minería e lanzouse ao sistema do usuario desde un host externo. As compilacións de mineiros preparáronse en Linux, macOS e Windows. No inicio, transmitiuse o número do grupo para a minería conxunta, o número da carteira criptográfica e o número de núcleos de CPU para realizar cálculos.
Fonte: opennet.ru