在 NPM 存儲庫中檢測到三個惡意包 klow、klown 和 okhsa,它們隱藏在解析 User-Agent 標頭(使用了 UA-Parser-js 庫的副本)的功能背後,包含用於組織加密貨幣的惡意更改在用戶系統上挖礦。 這些包裹由一名用戶於 15 月 150 日發布,但立即被外部研究人員發現並向 NPM 管理部門報告了該問題。 結果,這些軟件包在發布後的一天內就被刪除了,但下載量卻達到了大約 XNUMX 次。
直接惡意代碼僅包含在“klow”和“klown”包中,它們被用作 okhsa 包中的依賴項。 okhsa 包還有一個存根,用於在 Windows 上運行計算器。 根據當前平台,用於挖掘的可執行文件從外部主機下載並在用戶系統上啟動。 已經為 Linux、macOS 和 Windows 準備了礦工構建。 在啟動時,傳輸聯合挖礦池的數量、加密錢包的數量和用於執行計算的 CPU 內核的數量。
來源: opennet.ru