Yn y cyfeiriadur pecyn Python PyPI (Mynegai Pecyn Python) pecynnau maleisus""Ac"" , a gafodd eu huwchlwytho gan un awdur olgired2017 a'u cuddio fel pecynnau poblogaidd ""Ac"" (gwahaniaethu gan y defnydd o'r symbol "I" (i) yn lle "l" (L) yn yr enw). Ar ôl gosod y pecynnau penodedig, anfonwyd allweddi amgryptio a data defnyddwyr cyfrinachol a ddarganfuwyd yn y system at weinydd yr ymosodwr. Mae'r pecynnau problemus bellach wedi'u tynnu o'r cyfeiriadur PyPI.
Roedd y cod maleisus ei hun yn bresennol yn y pecyn "jeIlyfish", ac roedd y pecyn "python3-dateutil" yn ei ddefnyddio fel dibyniaeth.
Dewiswyd yr enwau ar sail defnyddwyr disylw a wnaeth deipos wrth chwilio (). Cafodd y pecyn maleisus “jeIlyfish” ei lawrlwytho tua blwyddyn yn ôl, ar Ragfyr 11, 2018, ac arhosodd heb ei ganfod. Uwchlwythwyd y pecyn "python3-dateutil" ar Dachwedd 29, 2019 ac ychydig ddyddiau'n ddiweddarach cododd amheuaeth ymhlith un o'r datblygwyr. Ni ddarperir gwybodaeth am y nifer o osodiadau o becynnau maleisus.
Roedd y pecyn slefrod môr yn cynnwys cod a oedd yn lawrlwytho rhestr o “hashes” o ystorfa allanol yn seiliedig ar GitLab. Dangosodd dadansoddiad o'r rhesymeg dros weithio gyda'r “hashes” hyn eu bod yn cynnwys sgript wedi'i hamgodio gan ddefnyddio'r swyddogaeth base64 a'i lansio ar ôl datgodio. Canfu'r sgript allweddi SSH a GPG yn y system, yn ogystal â rhai mathau o ffeiliau o'r cyfeiriadur cartref a chymwysterau ar gyfer prosiectau PyCharm, ac yna eu hanfon at weinydd allanol sy'n rhedeg ar seilwaith cwmwl DigitalOcean.
Ffynhonnell: opennet.ru