V adresáři balíčku Python PyPI (Python Package Index) škodlivé balíčky""A"", které byly nahrány jedním autorem olgired2017 a maskované jako oblíbené balíčky ""A"“ (rozlišuje se použitím symbolu „I“ (i) namísto „l“ (L) v názvu). Po instalaci uvedených balíčků byly na server útočníka odeslány šifrovací klíče a důvěrná uživatelská data nalezená v systému. Problematické balíčky byly nyní odstraněny z adresáře PyPI.
Samotný škodlivý kód byl přítomen v balíčku „jeIlyfish“ a balíček „python3-dateutil“ jej používal jako závislost.
Názvy byly vybrány na základě nepozorných uživatelů, kteří při vyhledávání dělali překlepy (). Škodlivý balíček „jeIlyfish“ byl stažen zhruba před rokem, 11. prosince 2018, a zůstal nezjištěn. Balíček „python3-dateutil“ byl nahrán 29. listopadu 2019 a o pár dní později vzbudil podezření u jednoho z vývojářů. Informace o počtu instalací škodlivých balíčků nejsou poskytovány.
Balíček medúzy obsahoval kód, který stáhl seznam „hash“ z externího úložiště založeného na GitLabu. Analýza logiky pro práci s těmito „hašemi“ ukázala, že obsahují skript zakódovaný pomocí funkce base64 a spuštěný po dekódování. Skript našel v systému klíče SSH a GPG a také některé typy souborů z domovského adresáře a přihlašovací údaje pro projekty PyCharm a poté je odeslal na externí server běžící na cloudové infrastruktuře DigitalOcean.
Zdroj: opennet.ru