В каталоге Python-пакетов PyPI (Python Package Index)
Непосредственно вредоносный код присутствовал в пакете «jeIlyfish», а пакет «python3-dateutil» использовал его в качестве зависимости.
Названия были выбраны из расчёта на невнимательных пользователей, допускающих опечатки при поиске (
Пакет jellyfish включал в себя код, загружающий список «хэшей» из внешнего репозитория на базе GitLab. Разбор логики работы с этими «хэшами» показал, что они содержат скрипт, закодированный при помощи функции base64 и запускаемый после декодировки. Скрипт находил в системе ключи SSH и GPG, а также некоторые типы файлов из домашнего каталога и учётные данные для проектов PyCharm, после чего отправлял их на внешний сервер, запущенный в облачной инфраструктуре DigitalOcean.
Font: opennet.ru