Python paket kataloqunda PyPI (Python Paket İndeksi)
Zərərli kodun özü "jeIlyfish" paketində mövcud idi və "python3-dateutil" paketi ondan asılılıq kimi istifadə edirdi.
Adlar axtarış zamanı səhvlərə yol verən diqqətsiz istifadəçilər əsasında seçilib (
Meduza paketinə GitLab əsaslı xarici repozitoriyadan “hesh”lərin siyahısını endirən kod daxil idi. Bu “haşlarla” işləmək məntiqinin təhlili göstərdi ki, onların tərkibində base64 funksiyasından istifadə etməklə kodlanmış və deşifrədən sonra işə salınmış skript var. Skript sistemdə SSH və GPG açarlarını, həmçinin ev kataloqundan bəzi növ faylları və PyCharm layihələri üçün etimadnamələri tapdı və sonra onları DigitalOcean bulud infrastrukturunda işləyən xarici serverə göndərdi.
Mənbə: opennet.ru