في دليل حزمة بايثون PyPI (فهرس حزمة بايثون) الحزم الخبيثة ""و""، والتي تم تحميلها بواسطة أحد المؤلفين olgired2017 وتم إخفاؤها كحزم شعبية ""و""(ويتميز باستخدام الرمز "I" (i) بدلاً من "l" (L) في الاسم). وبعد تثبيت الحزم المحددة، تم إرسال مفاتيح التشفير وبيانات المستخدم السرية الموجودة في النظام إلى خادم المهاجم. تمت الآن إزالة الحزم التي بها مشكلات من دليل PyPI.
وكان الكود الخبيث نفسه موجودًا في حزمة "jeIlyfish"، واستخدمته حزمة "python3-dateutil" كتبعية.
تم اختيار الأسماء بناءً على المستخدمين غير المنتبهين الذين ارتكبوا أخطاء مطبعية عند البحث (). تم تنزيل الحزمة الخبيثة “jeIlyfish” منذ عام تقريبًا، في 11 ديسمبر 2018، ولم يتم اكتشافها. تم تحميل الحزمة "python3-dateutil" في 29 نوفمبر 2019 وبعد بضعة أيام أثارت الشكوك بين أحد المطورين. لا يتم توفير معلومات حول عدد عمليات تثبيت الحزم الضارة.
تضمنت حزمة قناديل البحر رمزًا برمجيًا يقوم بتنزيل قائمة "التجزئات" من مستودع خارجي يستند إلى GitLab. أظهر تحليل منطق العمل مع هذه "التجزئة" أنها تحتوي على برنامج نصي مشفر باستخدام وظيفة base64 ويتم تشغيله بعد فك التشفير. عثر البرنامج النصي على مفاتيح SSH وGPG في النظام، بالإضافة إلى بعض أنواع الملفات من الدليل الرئيسي وبيانات الاعتماد لمشاريع PyCharm، ثم أرسلها إلى خادم خارجي يعمل على البنية التحتية السحابية لـ DigitalOcean.
المصدر: opennet.ru