U NPM repozitoriju identificirana su tri zlonamjerna paketa klow, klown i okhsa koji su, skrivajući se iza funkcionalnosti za analiziranje zaglavlja User-Agent (korištena je kopija biblioteke UA-Parser-js), sadržavali zlonamjerne promjene korištene za organiziranje rudarenja kriptovaluta na sustavu korisnika. Pakete je objavio jedan korisnik 15. listopada, ali su ih odmah identificirali istraživači trećih strana koji su prijavili problem upravi NPM-a. Kao rezultat toga, paketi su uklonjeni unutar jednog dana od objavljivanja, ali su uspjeli dobiti oko 150 preuzimanja.
Izravno zlonamjerni kod sadržan je samo u paketima "klow" i "klown", koji su korišteni kao ovisnosti u paketu okhsa. Paket "okhsa" također je uključivao dodatak za pokretanje kalkulatora u sustavu Windows. Ovisno o trenutnoj platformi, izvršna datoteka za rudarenje preuzeta je i pokrenuta na korisnikov sustav s vanjskog hosta. Gradnje rudara pripremljene su za Linux, macOS i Windows. Pri pokretanju se prenosi broj bazena za zajedničko rudarenje, broj kripto novčanika i broj CPU jezgri za izvođenje izračuna.
Izvor: opennet.ru