Tiga paket berbahaya klow, klown dan okhsa diidentifikasi di repositori NPM, yang bersembunyi di balik fungsi untuk mengurai header Agen-Pengguna (salinan perpustakaan UA-Parser-js digunakan), berisi perubahan berbahaya yang digunakan untuk mengatur penambangan cryptocurrency pada sistem pengguna. Paket tersebut diposting oleh satu pengguna pada tanggal 15 Oktober, namun segera diidentifikasi oleh peneliti pihak ketiga yang melaporkan masalah tersebut ke administrasi NPM. Hasilnya, paket-paket tersebut dihapus dalam satu hari setelah dipublikasikan, namun berhasil mendapatkan sekitar 150 unduhan.
Kode berbahaya langsung hanya terkandung dalam paket βklowβ dan βklownβ, yang digunakan sebagai dependensi dalam paket okhsa. Paket "okhsa" juga menyertakan rintisan untuk menjalankan kalkulator di Windows. Bergantung pada platform saat ini, file yang dapat dieksekusi untuk penambangan diunduh dan diluncurkan ke sistem pengguna dari host eksternal. Build penambang disiapkan di Linux, macOS, dan Windows. Saat startup, jumlah kumpulan untuk penambangan bersama, jumlah dompet kripto, dan jumlah inti CPU untuk melakukan penghitungan dikirimkan.
Sumber: opennet.ru