Três pacotes maliciosos klow, klown e okhsa foram identificados no repositório NPM, que, escondido atrás da funcionalidade de análise do cabeçalho User-Agent (foi usada uma cópia da biblioteca UA-Parser-js), continha alterações maliciosas usadas para organizar a mineração de criptomoedas no sistema do usuário. Os pacotes foram postados por um único usuário em 15 de outubro, mas foram imediatamente identificados por pesquisadores terceirizados que relataram o problema à administração do NPM. Como resultado, os pacotes foram removidos um dia após a publicação, mas conseguiram ganhar cerca de 150 mil downloads.
O código diretamente malicioso estava contido apenas nos pacotes “klow” e “klown”, que eram usados como dependências no pacote okhsa. O pacote "okhsa" também incluía um esboço para executar a calculadora no Windows. Dependendo da plataforma atual, um arquivo executável para mineração era baixado e lançado no sistema do usuário a partir de um host externo. As compilações do Miner foram preparadas em Linux, macOS e Windows. Na inicialização, foram transmitidos o número do pool para mineração conjunta, o número da carteira criptográfica e o número de núcleos de CPU para realização de cálculos.
Fonte: opennet.ru