Tre skadliga paket klow, klown och okhsa upptäcktes i NPM-förvaret, som gömde sig bakom funktionen för att analysera User-Agent-huvudet (en kopia av UA-Parser-js-biblioteket användes), innehöll skadliga ändringar som användes för att organisera kryptovaluta mining på användarens system. Paketen postades av en enskild användare den 15 oktober, men identifierades omedelbart av utomstående forskare som rapporterade problemet till NPM-administrationen. Som ett resultat togs paketen bort inom en dag efter publiceringen, men lyckades samla ihop cirka 150 nedladdningar.
Direkt skadlig kod fanns bara i paketen "klow" och "klown", som användes som beroenden i okhsa-paketet. Okhsa-paketet hade också en stubb för att köra kalkylatorn på Windows. Beroende på aktuell plattform laddades en körbar fil för gruvdrift ner och lanserades på användarens system från en extern värd. Miner builds har förberetts för Linux, macOS och Windows. Vid lanseringen överfördes numret på poolen för gemensam gruvdrift, numret på kryptoplånboken och antalet CPU-kärnor för att utföra beräkningar.
Källa: opennet.ru