Специалисты компании Sonatype нашли очередную малварь в JavaScript-менеджере пакетов npm (Node Package Manager). На этот раз сразу три библиотеки содержали скрытый криптовалютный майнер.
Все три вредоносных пакета (klow, klown и okhsa) маскировались под парсеры строк user-agent. Однако, после скачивания, определив, с какой операционной системой работает жертва, они запускали крипт BAT или Shell (в зависимости от платформы пострадавшего).
«Затем этим скрипты загружали размещенный на внешнем сервере EXE или Linux ELF и выполняли бинарник с аргументами, указывающими на майнинговый пул, кошелек для криптовалюты и количество используемых потоков ЦП», — пишут эксперты Sonatype.
Конечные пейлоады (майнеры) могли работать как в Windows так и в Linux.
К счастью, все три пакета были активны всего один день, 15 октября 2021 года, и ни один из них не набрал больше 150 загрузок. Интересно, что все три вредоносные библиотеки были загружены с одной учтенной записи, то есть их создал один человек.