V úložisku NPM boli identifikované tri škodlivé balíky klow, klow a okhsa, ktoré skrývajúce sa za funkčnosťou na analýzu hlavičky User-Agent (bola použitá kópia knižnice UA-Parser-js) obsahovali škodlivé zmeny používané na organizáciu ťažby kryptomien. v systéme používateľa. Balíky boli odoslané jedným používateľom 15. októbra, ale boli okamžite identifikované výskumníkmi tretích strán, ktorí nahlásili problém správe NPM. Výsledkom bolo, že balíčky boli odstránené do jedného dňa od zverejnenia, ale podarilo sa im získať približne 150 stiahnutí.
Priamo škodlivý kód bol obsiahnutý iba v balíkoch „klow“ a „klown“, ktoré boli použité ako závislosti v balíku okhsa. Balík "okhsa" tiež obsahoval stub na spustenie kalkulačky v systéme Windows. V závislosti od aktuálnej platformy bol stiahnutý spustiteľný súbor na ťažbu a spustený do systému používateľa z externého hostiteľa. Zostavy baníkov boli pripravené na Linuxe, macOS a Windows. Pri spustení sa prenieslo číslo fondu pre spoločnú ťažbu, číslo kryptopeňaženky a počet jadier CPU na vykonávanie výpočtov.
Zdroj: opennet.ru