Al catàleg PyPI (índex de paquets Python), s'han identificat diversos paquets que inclouen codi per a la mineria oculta de criptomoneda. Hi havia problemes als paquets maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib i learninglib, els noms dels quals van ser escollits perquè fossin semblants en l'ortografia a les biblioteques populars (matplotlib) amb l'esperança que l'usuari cometrés un error en escriure i no notar les diferències (typesquatting). Els paquets es van publicar a l'abril amb el compte nedog123 i es van descarregar unes 5 mil vegades en total durant dos mesos.
El codi maliciós es va col·locar a la biblioteca maratlib, que s'utilitzava en altres paquets en forma de dependència. El codi maliciós es va amagar mitjançant un mecanisme d'ofuscament propietari, no detectat per les utilitats estàndard, i es va executar executant l'script de compilació setup.py executat durant la instal·lació del paquet. Des de setup.py, es va descarregar de GitHub i es va llançar l'script bash aza.sh, que al seu torn va descarregar i llançar les aplicacions de mineria de criptomoneda Ubqminer o T-Rex.
Font: opennet.ru