في كتالوج PyPI (Python Package Index)، تم تحديد العديد من الحزم التي تتضمن تعليمات برمجية للتعدين المخفي للعملات المشفرة. وكانت المشاكل موجودة في الحزم maratlib وmaratlib1 وmatplatlib-plus وmllearnlib وmplatlib وlearninglib، والتي تم اختيار أسمائها بشكل مشابه في التهجئة للمكتبات الشعبية (matplotlib) مع توقع أن يرتكب المستخدم أخطاء في الكتابة وعدم ملاحظة الاختلافات ( القرفصاء). تم نشر الحزم في أبريل تحت حساب nedog123 وفي شهرين تم تنزيلها حوالي 5 آلاف مرة في المجموع.
تم وضع الكود الخبيث في مكتبة maratlib، والذي تم استخدامه في حزم أخرى كتبعية. تم إخفاء التعليمات البرمجية الضارة باستخدام آلية التشويش الخاصة بها، والتي لا يتم تحديدها بواسطة الأدوات المساعدة النموذجية، وتم إطلاقها عن طريق تنفيذ البرنامج النصي للإنشاء setup.py، والذي يتم تنفيذه أثناء تثبيت الحزمة. من setup.py، تم تحميله من GitHub وتم إطلاق البرنامج النصي aza.sh bash، والذي قام بدوره بتنزيل وتشغيل تطبيقات Ubqminer أو T-Rex لتعدين العملات المشفرة.
المصدر: opennet.ru