PyPI (Python Paket İndeksi) kataloqunda gizli kriptovalyuta mədənçiliyi üçün kodu ehtiva edən bir neçə paket müəyyən edilmişdir. Maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib və learninglib paketlərində problemlər var idi ki, bu paketlərin adları orfoqrafiya baxımından məşhur kitabxanalara (matplotlib) bənzəyir seçilmişdir və istifadəçinin yazarkən səhv edəcəyi və fərqlərə diqqət yetirməmək (yazma). Paketlər aprel ayında nedog123 hesabı altında yerləşdirilib və iki ay ərzində ümumilikdə təxminən 5 min dəfə yüklənib.
Zərərli kod digər paketlərdə asılılıq şəklində istifadə edilən maratlib kitabxanasına yerləşdirilib. Zərərli kod, standart kommunal proqramlar tərəfindən aşkar edilməyən, xüsusi çaşqınlıq mexanizmindən istifadə etməklə gizlədilib və paketin quraşdırılması zamanı yerinə yetirilən setup.py qurma skripti icra edilərək icra edilib. setup.py saytından o, GitHub-dan endirilib və aza.sh bash skripti işə salınıb, o da öz növbəsində Ubqminer və ya T-Rex kriptovalyuta mədən proqramlarını yükləyib işə salıb.
Mənbə: opennet.ru