Drie kwaadaardige pakketten klow, klown en okhsa werden geïdentificeerd in de NPM-repository, die zich verschuilden achter functionaliteit voor het parseren van de User-Agent-header (er werd een kopie van de UA-Parser-js-bibliotheek gebruikt) en kwaadaardige wijzigingen bevatten die werden gebruikt om cryptocurrency-mining te organiseren op het systeem van de gebruiker. De pakketten werden op 15 oktober door één gebruiker geplaatst, maar werden onmiddellijk geïdentificeerd door externe onderzoekers die het probleem aan de NPM-administratie rapporteerden. Als gevolg hiervan werden de pakketten binnen een dag na publicatie verwijderd, maar slaagden ze erin ongeveer 150 downloads te genereren.
Direct kwaadaardige code zat alleen in de pakketten “klow” en “klown”, die als afhankelijkheden in het okhsa-pakket werden gebruikt. Het "okhsa" -pakket bevatte ook een stub om de rekenmachine op Windows uit te voeren. Afhankelijk van het huidige platform werd een uitvoerbaar bestand voor mining gedownload en vanaf een externe host op het systeem van de gebruiker gelanceerd. Miner-builds zijn voorbereid op Linux, macOS en Windows. Bij het opstarten werden het nummer van de pool voor joint mining, het nummer van de crypto-wallet en het aantal CPU-cores voor het uitvoeren van berekeningen verzonden.
Bron: opennet.ru