I Python-pakkebiblioteket PyPI (Python Package Index)
Selve den ondsindede kode var til stede i "jeIlyfish"-pakken, og "python3-dateutil"-pakken brugte den som en afhængighed.
Navnene blev valgt ud fra uopmærksomme brugere, der lavede tastefejl ved søgning (
Vandmændspakken inkluderede kode, der downloadede en liste over "hashes" fra et eksternt GitLab-baseret lager. Analyse af logikken for at arbejde med disse "hashes" viste, at de indeholder et script, der er kodet ved hjælp af base64-funktionen og lanceret efter afkodning. Scriptet fandt SSH- og GPG-nøgler i systemet, såvel som nogle typer filer fra hjemmebiblioteket og legitimationsoplysninger til PyCharm-projekter, og sendte dem derefter til en ekstern server, der kører på DigitalOcean-skyinfrastrukturen.
Kilde: opennet.ru