Ba gói độc hại klow, klown và okhsa đã được phát hiện trong kho lưu trữ NPM, ẩn đằng sau chức năng phân tích cú pháp tiêu đề Tác nhân người dùng (bản sao của thư viện UA-Parser-js đã được sử dụng), chứa các thay đổi độc hại được sử dụng để sắp xếp tiền điện tử khai thác trên hệ thống của người dùng. Các gói đã được đăng bởi một người dùng vào ngày 15 tháng 150 nhưng ngay lập tức được xác định bởi các nhà nghiên cứu bên ngoài đã báo cáo vấn đề với ban quản lý NPM. Do đó, các gói đã bị xóa trong vòng một ngày sau khi xuất bản, nhưng đã thu được khoảng XNUMX lượt tải xuống.
Mã độc trực tiếp chỉ được chứa trong các gói "klow" và "klown", được sử dụng làm phần phụ thuộc trong gói okhsa. Gói okhsa cũng có sơ khai để chạy máy tính trên Windows. Tùy thuộc vào nền tảng hiện tại, một tệp thực thi để khai thác đã được tải xuống và khởi chạy trên hệ thống của người dùng từ một máy chủ bên ngoài. Các bản dựng khai thác đã được chuẩn bị cho Linux, macOS và Windows. Khi ra mắt, số lượng nhóm khai thác chung, số lượng ví tiền điện tử và số lượng lõi CPU để thực hiện các phép tính đã được truyền đi.
Nguồn: opennet.ru