NPM deposunda, User-Agent başlığını ayrıştırma işlevinin arkasına saklanan (UA-Parser-js kitaplığının bir kopyası kullanıldı) kripto para birimini düzenlemek için kullanılan kötü amaçlı değişiklikler içeren üç kötü amaçlı paket klow, klown ve okhsa tespit edildi kullanıcının sisteminde madencilik. Paketler, 15 Ekim'de tek bir kullanıcı tarafından yayınlandı, ancak sorunu NPM yönetimine bildiren dış araştırmacılar tarafından hemen tanımlandı. Sonuç olarak, paketler yayınlandıktan sonraki bir gün içinde kaldırıldı, ancak yaklaşık 150 kez indirilmeyi başardı.
Doğrudan kötü amaçlı kod, yalnızca okhsa paketinde bağımlılık olarak kullanılan "klow" ve "klown" paketlerinde bulunuyordu. okhsa paketinde hesap makinesini Windows'ta çalıştırmak için bir saplama da vardı. Mevcut platforma bağlı olarak, madencilik için yürütülebilir bir dosya indirildi ve harici bir ana bilgisayardan kullanıcının sistemine başlatıldı. Madenci yapıları Linux, macOS ve Windows için hazırlanmıştır. Lansmanda, ortak madencilik için havuz numarası, kripto cüzdanı numarası ve hesaplamaları gerçekleştirmek için CPU çekirdeği sayısı iletildi.
Kaynak: opennet.ru