In die Python-pakketgids PyPI (Python Package Index) kwaadwillige pakkette""En"", wat deur een skrywer olgired2017 opgelaai is en as gewilde pakkette vermom is ""En"" (onderskei deur die gebruik van die simbool "I" (i) in plaas van "l" (L) in die naam). Nadat die gespesifiseerde pakkette geïnstalleer is, is enkripsiesleutels en vertroulike gebruikerdata wat in die stelsel gevind is, na die aanvaller se bediener gestuur. Die problematiese pakkette is nou uit die PyPI-gids verwyder.
Die kwaadwillige kode self was teenwoordig in die "jeIlyfish"-pakket, en die "python3-dateutil"-pakket het dit as 'n afhanklikheid gebruik.
Die name is gekies op grond van onoplettende gebruikers wat tikfoute gemaak het tydens soek (). Die kwaadwillige pakket "jeIlyfish" is ongeveer 'n jaar gelede, op 11 Desember 2018, afgelaai en het onopgemerk gebly. Die pakket "python3-dateutil" is op 29 November 2019 opgelaai en het 'n paar dae later agterdog by een van die ontwikkelaars gewek. Inligting oor die aantal installasies van kwaadwillige pakkette word nie verskaf nie.
Die jellievispakket het kode ingesluit wat 'n lys van "hashes" van 'n eksterne GitLab-gebaseerde bewaarplek afgelaai het. Ontleding van die logika om met hierdie "hashes" te werk, het getoon dat hulle 'n skrip bevat wat met die base64-funksie geënkodeer is en na dekodering van stapel gestuur is. Die skrip het SSH- en GPG-sleutels in die stelsel gevind, sowel as sommige soorte lêers uit die tuisgids en geloofsbriewe vir PyCharm-projekte, en dit dan na 'n eksterne bediener gestuur wat op die DigitalOcean-wolkinfrastruktuur loop.
Bron: opennet.ru