في دليل حزمة بايثون PyPI (فهرس حزمة بايثون)
وكان الكود الخبيث نفسه موجودًا في حزمة "jeIlyfish"، واستخدمته حزمة "python3-dateutil" كتبعية.
تم اختيار الأسماء بناءً على المستخدمين غير المنتبهين الذين ارتكبوا أخطاء مطبعية عند البحث (
تضمنت حزمة قناديل البحر رمزًا برمجيًا يقوم بتنزيل قائمة "التجزئات" من مستودع خارجي يستند إلى GitLab. أظهر تحليل منطق العمل مع هذه "التجزئة" أنها تحتوي على برنامج نصي مشفر باستخدام وظيفة base64 ويتم تشغيله بعد فك التشفير. عثر البرنامج النصي على مفاتيح SSH وGPG في النظام، بالإضافة إلى بعض أنواع الملفات من الدليل الرئيسي وبيانات الاعتماد لمشاريع PyCharm، ثم أرسلها إلى خادم خارجي يعمل على البنية التحتية السحابية لـ DigitalOcean.
المصدر: opennet.ru