Tre ondsinnede pakker klow, klown og okhsa ble identifisert i NPM-depotet, som skjulte seg bak funksjonalitet for å analysere User-Agent-overskriften (en kopi av UA-Parser-js-biblioteket ble brukt), inneholdt ondsinnede endringer som ble brukt til å organisere gruvedrift av kryptovaluta på brukerens system. Pakkene ble lagt ut av en enkelt bruker 15. oktober, men ble umiddelbart identifisert av tredjepartsforskere som rapporterte problemet til NPM-administrasjonen. Som et resultat ble pakkene fjernet innen en dag etter publisering, men klarte å få rundt 150 nedlastinger.
Direkte ondsinnet kode var bare inneholdt i "klow"- og "klown"-pakkene, som ble brukt som avhengigheter i okhsa-pakken. "Okhsa"-pakken inkluderte også en stump for å kjøre kalkulatoren på Windows. Avhengig av gjeldende plattform ble en kjørbar fil for gruvedrift lastet ned og lansert på brukerens system fra en ekstern vert. Miner-bygg ble utarbeidet på Linux, macOS og Windows. Ved oppstart ble nummeret på bassenget for felles gruvedrift, nummeret på kryptolommeboken og antall CPU-kjerner for å utføre beregninger overført.
Kilde: opennet.ru