V katalogu PyPI (Python Package Index) bylo identifikováno několik balíčků, které obsahují kód pro skrytou těžbu kryptoměn. Problémy byly v balíčcích maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib a learninglib, jejichž názvy byly zvoleny tak, aby se pravopisně podobaly populárním knihovnám (matplotlib) s očekáváním, že uživatel udělá chybu při psaní a nevšimnout si rozdílů (typesquatting). Balíčky byly zveřejněny v dubnu pod účtem nedog123 a byly staženy celkem asi 5 tisíckrát za dva měsíce.
Škodlivý kód byl umístěn do knihovny maratlib, která byla použita v jiných balíčcích ve formě závislosti. Škodlivý kód byl skryt pomocí proprietárního zamlžovacího mechanismu, který standardní obslužné programy nezjistil, a byl spuštěn spuštěním sestavení setup.py skriptu spuštěného během instalace balíčku. Z setup.py byl stažen z GitHubu a spuštěn bash skript aza.sh, který zase stáhl a spustil aplikace pro těžbu kryptoměn Ubqminer nebo T-Rex.
Zdroj: opennet.ru