在 NPM 存储库中检测到三个恶意包 klow、klown 和 okhsa,它们隐藏在解析 User-Agent 标头(使用了 UA-Parser-js 库的副本)的功能背后,包含用于组织加密货币的恶意更改在用户系统上挖矿。 这些包裹由一名用户于 15 月 150 日发布,但立即被外部研究人员发现并向 NPM 管理部门报告了该问题。 结果,这些软件包在发布后的一天内就被删除了,但下载量却达到了大约 XNUMX 次。
直接恶意代码仅包含在“klow”和“klown”包中,它们被用作 okhsa 包中的依赖项。 okhsa 包还有一个存根,用于在 Windows 上运行计算器。 根据当前平台,用于挖掘的可执行文件从外部主机下载并在用户系统上启动。 已经为 Linux、macOS 和 Windows 准备了矿工构建。 在启动时,传输联合挖矿池的数量、加密钱包的数量和用于执行计算的 CPU 内核的数量。
来源: opennet.ru