Пакеты были загружены в репозиторий 15 октября, но сразу же выявлены исследователями.
https://www.securitylab.ru/upload/ib...f938da9682.jpg
Специалисты компании Sonatype обнаружили ПО для майнинга криптовалюты в трех JavaScript-библиотеках, загруженных в официальный репозиторий NPM.
Вредоносные пакеты под названиями okhsa, klow и klown были замаскированы под парсеры заголовка User-Agent и загружены одним и тем же автором 15 октября. Вредоносные пакеты практически сразу же были замечены исследователями, которые сообщили о них администрации NPM. Администрация оперативно удалила вредоносные пакеты из репозитория, но к тому времени они уже были суммарно загружены более 150 раз.
Вредоносный код содержался только в пакетах klow и klown, которые использовались в пакете okhsa в качестве зависимостей.
Как пояснили эксперты, в зависимости от используемой платформы (Windows или Unix-подобная система) на систему пользователя загружался .bat или .sh скрипт, которые загружали с внешнего хоста файлы EXE или Linux ELF и исполняли их с аргументами, указывающими на майнинговый пул, адрес криптовалютного кошелька и число потоков процессора, которые нужно задействовать.
Напомним, в июле нынешнего года в репозитории NPM были обнаружены два вредоносных NPM-пакета, способных похищать учетные данные из браузеров Google Chrome на системах под управлением Windows, а также устанавливать бэкдор для дальнейшей шпионской активности.