Nel repository NPM sono stati identificati tre pacchetti dannosi klow, klown e okhsa che, nascondendosi dietro funzionalità per l'analisi dell'intestazione User-Agent (è stata utilizzata una copia della libreria UA-Parser-js), contenevano modifiche dannose utilizzate per organizzare il mining di criptovaluta sul sistema dell'utente. I pacchetti sono stati pubblicati da un singolo utente il 15 ottobre, ma sono stati immediatamente identificati da ricercatori di terze parti che hanno segnalato il problema all'amministrazione NPM. Di conseguenza, i pacchetti sono stati rimossi entro un giorno dalla pubblicazione, ma sono riusciti a ottenere circa 150 download.
Il codice direttamente dannoso era contenuto solo nei pacchetti “klow” e “klown”, utilizzati come dipendenze nel pacchetto okhsa. Il pacchetto "okhsa" includeva anche uno stub per eseguire la calcolatrice su Windows. A seconda della piattaforma attuale, un file eseguibile per il mining veniva scaricato e lanciato nel sistema dell’utente da un host esterno. Le build del minatore sono state preparate su Linux, macOS e Windows. All'avvio sono stati trasmessi il numero del pool per il mining congiunto, il numero del portafoglio crittografico e il numero di core della CPU per l'esecuzione dei calcoli.
Fonte: opennet.ru