В репоизитории NPM выявлены три вредоносных пакета klow, klown и okhsa, которые прикрываясь функциональностью для разбора заголовка User-Agent (использовалась копия библиотеки UA-Parser-js) содержали вредоносные изменения, применяемые для организации майнинга криптовалют на системе пользователя. Пакеты были размещены одним пользователем 15 октября, но сразу выявлены сторонними исследователями, которые сообщили о проблеме администрации NPM. В итоге пакеты были удалены в течение дня после публикации, но успели набрать около 150 загрузок.
Напрямую вредоносный код содержался только в пакетах “klow” и “klown”, которые использовались в пакете okhsa в качестве зависимостей. В пакете “okhsa” также имелась заглушка для запуска калькулятора в Windows. В зависимости от текущей платформы на систему пользователя с внешнего хоста загружался и запускался исполняемый файл для майнинга. Сборки майнера были подготовлены в Linux, macOS и Windows. При запуске передавался номер пула для совместного майнинга, номер криптокошелька и число ядер CPU для выполнения вычислений.
