Tatlong malisyosong pakete na klow, klown at okhsa ang natukoy sa repositoryo ng NPM, na, nagtatago sa likod ng functionality para sa pag-parse ng User-Agent header (ginamit ang isang kopya ng library ng UA-Parser-js), naglalaman ng mga malisyosong pagbabago na ginamit upang ayusin ang pagmimina ng cryptocurrency sa sistema ng gumagamit. Ang mga pakete ay nai-post ng isang user noong Oktubre 15, ngunit agad na natukoy ng mga third-party na mananaliksik na nag-ulat ng problema sa pangangasiwa ng NPM. Bilang resulta, ang mga pakete ay inalis sa loob ng isang araw ng paglalathala, ngunit nakakuha ng humigit-kumulang 150 na pag-download.
Direktang malisyosong code ay nakapaloob lamang sa mga paketeng "klow" at "clown", na ginamit bilang mga dependency sa pakete ng okhsa. Kasama rin sa package na "okhsa" ang isang stub upang patakbuhin ang calculator sa Windows. Depende sa kasalukuyang platform, isang executable na file para sa pagmimina ang na-download at inilunsad sa system ng user mula sa isang external na host. Ang mga build ng minero ay inihanda sa Linux, macOS at Windows. Sa pagsisimula, ang bilang ng pool para sa joint mining, ang bilang ng crypto wallet at ang bilang ng mga CPU core para sa pagsasagawa ng mga kalkulasyon ay ipinadala.
Pinagmulan: opennet.ru