V adresáři balíčku Python PyPI (Python Package Index)
Samotný škodlivý kód byl přítomen v balíčku „jeIlyfish“ a balíček „python3-dateutil“ jej používal jako závislost.
Názvy byly vybrány na základě nepozorných uživatelů, kteří při vyhledávání dělali překlepy (
Balíček medúzy obsahoval kód, který stáhl seznam „hash“ z externího úložiště založeného na GitLabu. Analýza logiky pro práci s těmito „hašemi“ ukázala, že obsahují skript zakódovaný pomocí funkce base64 a spuštěný po dekódování. Skript našel v systému klíče SSH a GPG a také některé typy souborů z domovského adresáře a přihlašovací údaje pro projekty PyCharm a poté je odeslal na externí server běžící na cloudové infrastruktuře DigitalOcean.
Zdroj: opennet.ru