У каталогу Python-пакетаў PyPI (Python Package Index) шкоднасныя пакеты»І«", якія былі загружаны адным аўтарам olgired2017 і маскіраваліся пад папулярныя пакеты "»І«» (адрозніваецца выкарыстаннем сімвала «I» (i) замест «l» (L) у назве). Пасля ўсталёўкі паказаных пакетаў на сервер зламысніка адпраўляліся знойдзеныя ў сістэме ключы шыфравання і канфідэнцыйныя дадзеныя карыстача. У цяперашні час праблемныя пакеты ўжо выдалены з каталога PyPI.
Непасрэдна шкоднасны код прысутнічаў у пакеце "jeIlyfish", а пакет "python3-dateutil" выкарыстаў яго ў якасці залежнасці.
Назвы былі выбраны з разліку на няўважлівых карыстальнікаў, якія дапускаюць памылкі друку пры пошуку (). Шкодны пакет «jeIlyfish» быў загружаны каля года таму - 11 снежня 2018 года і заставаўся незаўважаным. Пакет "python3-dateutil" быў загружаны 29 лістапада 2019 года і праз некалькі дзён выклікаў падазрэнне ў аднаго з распрацоўшчыкаў. Інфармацыя аб ліку ўсталёвак шкоднасных пакетаў не прыводзіцца.
Пакет jellyfish уключаў у сябе код, які загружае спіс «хэшаў» з вонкавага рэпазітара на базе GitLab. Разбор логікі працы з гэтымі «хэшамі» паказаў, што яны ўтрымоўваюць скрыпт, закадаваны пры дапамозе функцыі base64 і які запускаецца пасля дэкадоўкі. Скрыпт знаходзіў у сістэме ключы SSH і GPG, а таксама некаторыя тыпы файлаў з хатняга каталога і ўліковыя дадзеныя для праектаў PyCharm, пасля чаго адпраўляў іх на вонкавы сервер, запушчаны ў хмарнай інфраструктуры DigitalOcean.
Крыніца: opennet.ru