Trei pachete rău intenționate klow, klown și okhsa au fost identificate în depozitul NPM, care, ascunzându-se în spatele funcționalității de analiză a antetului User-Agent (a fost folosită o copie a bibliotecii UA-Parser-js), conțineau modificări rău intenționate utilizate pentru a organiza minarea criptomonedei. pe sistemul utilizatorului. Pachetele au fost postate de un singur utilizator pe 15 octombrie, dar au fost identificate imediat de către cercetători terți care au raportat problema administrației NPM. Drept urmare, pachetele au fost eliminate într-o zi de la publicare, dar au reușit să câștige aproximativ 150 de descărcări.
Codul direct rău intenționat a fost conținut numai în pachetele „klow” și „klown”, care au fost folosite ca dependențe în pachetul okhsa. Pachetul „okhsa” a inclus și un stub pentru a rula calculatorul pe Windows. În funcție de platforma actuală, un fișier executabil pentru minerit a fost descărcat și lansat pe sistemul utilizatorului de la o gazdă externă. Compilările Miner au fost pregătite pe Linux, macOS și Windows. La pornire, au fost transmise numărul pool-ului pentru minerit în comun, numărul portofelului cripto și numărul de nuclee CPU pentru efectuarea calculelor.
Sursa: opennet.ru