У репозиторії NPM виявлено три шкідливі пакети klow, klown і okhsa, які прикриваючись функціональністю для розбору заголовка User-Agent (використовувалася копія бібліотеки UA-Parser-js) містили шкідливі зміни, що застосовуються для організації майнінгу криптовалют на системі користувача. Пакети було розміщено одним користувачем 15 жовтня, але одразу виявлено сторонніми дослідниками, які повідомили про проблему адміністрації NPM. У результаті пакети було видалено протягом дня після публікації, але встигли набрати близько 150 завантажень.
Безпосередньо шкідливий код містився тільки в пакетах "klow" і "klown", які використовувалися в пакеті okhsa як залежність. У пакеті okhsa також була заглушка для запуску калькулятора в Windows. Залежно від поточної платформи на систему користувача із зовнішнього хоста завантажувався та запускався виконуваний файл для майнінгу. Складання майнера були підготовлені в Linux, macOS та Windows. При запуску передавався номер пулу для спільного майнінгу, номер криптогаманця та кількість ядер CPU для виконання обчислень.
Джерело: opennet.ru