NPM repozitorijā tika identificētas trīs ļaunprātīgas pakotnes klow, klown un okhsa, kuras, slēpjoties aiz User-Agent galvenes parsēšanas funkcionalitātes (tika izmantota UA-Parser-js bibliotēkas kopija), saturēja ļaunprātīgas izmaiņas, kas tika izmantotas kriptovalūtas ieguves organizēšanai. lietotāja sistēmā. Pakas 15. oktobrī ievietoja viens lietotājs, taču tās nekavējoties identificēja trešo pušu pētnieki, kuri ziņoja par problēmu NPM administrācijai. Rezultātā pakotnes tika noņemtas vienas dienas laikā pēc publicēšanas, taču tām izdevās iegūt aptuveni 150 lejupielādes.
Tieši ļaunprātīgs kods tika ietverts tikai “klow” un “klown” pakotnēs, kuras tika izmantotas kā atkarības okhsa pakotnē. Pakotnē "okhsa" bija iekļauta arī sadaļa, lai palaistu kalkulatoru operētājsistēmā Windows. Atkarībā no pašreizējās platformas tika lejupielādēts izpildāmais fails ieguvei un palaists lietotāja sistēmā no ārēja resursdatora. Miner versijas tika sagatavotas operētājsistēmās Linux, macOS un Windows. Startēšanas laikā tika pārsūtīts kopīgās ieguves baseina numurs, kriptovalūtas maka numurs un CPU kodolu skaits aprēķinu veikšanai.
Avots: opennet.ru