แพ็คเกจที่เป็นอันตรายสามแพ็คเกจ klow, klown และ okhsa ถูกระบุในพื้นที่เก็บข้อมูล NPM ซึ่งซ่อนอยู่เบื้องหลังฟังก์ชันการทำงานสำหรับการแยกวิเคราะห์ส่วนหัว User-Agent (ใช้สำเนาของไลบรารี UA-Parser-js) มีการเปลี่ยนแปลงที่เป็นอันตรายที่ใช้ในการจัดระเบียบการขุด cryptocurrency บนระบบของผู้ใช้ แพ็คเกจดังกล่าวถูกโพสต์โดยผู้ใช้รายเดียวเมื่อวันที่ 15 ตุลาคม แต่ถูกระบุทันทีโดยนักวิจัยบุคคลที่สามที่รายงานปัญหาไปยังฝ่ายบริหารของ NPM เป็นผลให้แพ็คเกจถูกลบออกภายในหนึ่งวันนับจากวันเผยแพร่ แต่มีการดาวน์โหลดประมาณ 150 ครั้ง
โค้ดที่เป็นอันตรายโดยตรงมีอยู่ในแพ็คเกจ “klow” และ “klown” เท่านั้น ซึ่งใช้เป็นสิ่งอ้างอิงในแพ็คเกจ okhsa แพ็คเกจ "okhsa" ยังรวม stub เพื่อเรียกใช้เครื่องคิดเลขบน Windows อีกด้วย ขึ้นอยู่กับแพลตฟอร์มปัจจุบัน ไฟล์ปฏิบัติการสำหรับการขุดจะถูกดาวน์โหลดและเปิดใช้งานบนระบบของผู้ใช้จากโฮสต์ภายนอก Miner builds ถูกจัดทำขึ้นบน Linux, macOS และ Windows เมื่อเริ่มต้นระบบ จำนวนของพูลสำหรับการขุดร่วม จำนวนของกระเป๋าเงินดิจิตอล และจำนวนแกน CPU สำหรับการคำนวณจะถูกส่งไป
ที่มา: opennet.ru