В каталоге Python-пакетов PyPI (Python Package Index) вредоносные пакеты «"I"«, которые были загружены одним автором olgired2017 и маскировались под популярные пакеты «"I"» (отличается использованием символа «I» (i) вместо «l» (L) в названии). После установки указанных пакетов на сервер злоумышленника отправлялись найденные в системе ключи шифрования и конфиденциальные данные пользователя. В настоящее время проблемные пакеты уже удалены из каталога PyPI.
Непосредственно вредоносный код присутствовал в пакете «jeIlyfish», а пакет «python3-dateutil» использовал его в качестве зависимости.
Названия были выбраны из расчёта на невнимательных пользователей, допускающих опечатки при поиске (). Вредоносный пакет «jeIlyfish» был загружен около года назад — 11 декабря 2018 года и оставался незамеченным. Пакет «python3-dateutil» был загружен 29 ноября 2019 года и через несколько дней вызвал подозрение у одного из разработчиков. Информация о числе установок вредоносных пакетов не приводится.
Пакет jellyfish включал в себя код, загружающий список «хэшей» из внешнего репозитория на базе GitLab. Разбор логики работы с этими «хэшами» показал, что они содержат скрипт, закодированный при помощи функции base64 и запускаемый после декодировки. Скрипт находил в системе ключи SSH и GPG, а также некоторые типы файлов из домашнего каталога и учётные данные для проектов PyCharm, после чего отправлял их на внешний сервер, запущенный в облачной инфраструктуре DigitalOcean.
izvor: opennet.ru