Tiga pakej berniat jahat klow, klown dan okhsa telah dikenal pasti dalam repositori NPM, yang, berselindung di sebalik fungsi untuk menghuraikan pengepala Agen-Pengguna (salinan perpustakaan UA-Parser-js telah digunakan), mengandungi perubahan jahat yang digunakan untuk mengatur perlombongan mata wang kripto pada sistem pengguna. Pakej tersebut telah disiarkan oleh seorang pengguna pada 15 Oktober, tetapi telah dikenal pasti serta-merta oleh penyelidik pihak ketiga yang melaporkan masalah itu kepada pentadbiran NPM. Akibatnya, pakej telah dialih keluar dalam masa sehari selepas penerbitan, tetapi berjaya memperoleh kira-kira 150 muat turun.
Kod berniat jahat secara langsung hanya terkandung dalam pakej "klow" dan "clown", yang digunakan sebagai kebergantungan dalam pakej okhsa. Pakej "okhsa" juga termasuk stub untuk menjalankan kalkulator pada Windows. Bergantung pada platform semasa, fail boleh laku untuk perlombongan telah dimuat turun dan dilancarkan ke sistem pengguna daripada hos luaran. Binaan penambang telah disediakan pada Linux, macOS dan Windows. Pada permulaan, bilangan kumpulan untuk perlombongan bersama, bilangan dompet crypto dan bilangan teras CPU untuk melakukan pengiraan telah dihantar.
Sumber: opennet.ru