W repozytorium NPM zidentyfikowano trzy szkodliwe pakiety klow, klown i okhsa, które ukrywając się za funkcjonalnością analizowania nagłówka User-Agent (wykorzystano kopię biblioteki UA-Parser-js), zawierały szkodliwe zmiany służące do organizacji wydobywania kryptowalut w systemie użytkownika. Pakiety zostały wysłane przez jednego użytkownika 15 października, ale zostały natychmiast zidentyfikowane przez zewnętrznych badaczy, którzy zgłosili problem administracji NPM. W rezultacie pakiety zostały usunięte w ciągu jednego dnia od publikacji, ale udało im się uzyskać około 150 pobrań.
Bezpośrednio szkodliwy kod znajdował się jedynie w pakietach „klow” i „klown”, które zostały wykorzystane jako zależności w pakiecie okhsa. Pakiet „okhsa” zawierał także kod pośredniczący do uruchomienia kalkulatora w systemie Windows. W zależności od aktualnej platformy plik wykonywalny do eksploracji był pobierany i uruchamiany w systemie użytkownika z zewnętrznego hosta. Kompilacje Minera zostały przygotowane na systemy Linux, macOS i Windows. Przy uruchomieniu przesyłany był numer puli do wspólnego wydobywania, numer portfela kryptowalut oraz liczba rdzeni procesora do wykonywania obliczeń.
Źródło: opennet.ru