Három rosszindulatú, klow, klown és okhsa csomagot észleltünk az NPM-tárban, amelyek a User-Agent fejléc értelmezésére szolgáló funkció mögé bújva (az UA-Parser-js könyvtár másolatát használták) a kriptovaluta rendszerezésére használt rosszindulatú változtatásokat tartalmaztak. bányászat a felhasználó rendszerén. A csomagokat egyetlen felhasználó tette közzé október 15-én, de azonnal azonosították őket külső kutatók, akik jelentették a problémát az NPM adminisztrációjának. Ennek eredményeként a csomagokat a megjelenést követő egy napon belül eltávolították, de körülbelül 150 letöltést sikerült elérniük.
Közvetlenül rosszindulatú kódot csak a "klow" és a "klown" csomag tartalmazott, amelyeket az okhsa csomag függőségeként használt. Az okhsa csomagban is volt egy csonk a számológép Windows rendszeren való futtatásához. Az aktuális platformtól függően egy futtatható fájl bányászathoz lett letöltve és elindítva a felhasználó rendszerén egy külső gazdagépről. Miner buildek készültek Linuxra, macOS-re és Windowsra. Az induláskor átküldték a közös bányászathoz szükséges pool számát, a kriptotárca számát és a számítások elvégzéséhez szükséges CPU magok számát.
Forrás: opennet.ru