У каталогу Python-пакетаў PyPI (Python Package Index)
Непасрэдна шкоднасны код прысутнічаў у пакеце "jeIlyfish", а пакет "python3-dateutil" выкарыстаў яго ў якасці залежнасці.
Назвы былі выбраны з разліку на няўважлівых карыстальнікаў, якія дапускаюць памылкі друку пры пошуку (
Пакет jellyfish уключаў у сябе код, які загружае спіс «хэшаў» з вонкавага рэпазітара на базе GitLab. Разбор логікі працы з гэтымі «хэшамі» паказаў, што яны ўтрымоўваюць скрыпт, закадаваны пры дапамозе функцыі base64 і які запускаецца пасля дэкадоўкі. Скрыпт знаходзіў у сістэме ключы SSH і GPG, а таксама некаторыя тыпы файлаў з хатняга каталога і ўліковыя дадзеныя для праектаў PyCharm, пасля чаго адпраўляў іх на вонкавы сервер, запушчаны ў хмарнай інфраструктуры DigitalOcean.
Крыніца: opennet.ru