I Python-pakkebiblioteket PyPI (Python Package Index) ondsindede pakker""Og"", som blev uploadet af en forfatter olgired2017 og forklædt som populære pakker ""Og"" (kendetegnet ved brugen af symbolet "I" (i) i stedet for "l" (L) i navnet). Efter installation af de angivne pakker blev krypteringsnøgler og fortrolige brugerdata fundet i systemet sendt til angriberens server. De problematiske pakker er nu blevet fjernet fra PyPI-biblioteket.
Selve den ondsindede kode var til stede i "jeIlyfish"-pakken, og "python3-dateutil"-pakken brugte den som en afhængighed.
Navnene blev valgt ud fra uopmærksomme brugere, der lavede tastefejl ved søgning (). Den ondsindede pakke "jeIlyfish" blev downloadet for omkring et år siden, den 11. december 2018, og forblev uopdaget. Pakken "python3-dateutil" blev uploadet den 29. november 2019 og vakte få dage senere mistanke hos en af udviklerne. Der gives ikke oplysninger om antallet af installationer af ondsindede pakker.
Vandmændspakken inkluderede kode, der downloadede en liste over "hashes" fra et eksternt GitLab-baseret lager. Analyse af logikken for at arbejde med disse "hashes" viste, at de indeholder et script, der er kodet ved hjælp af base64-funktionen og lanceret efter afkodning. Scriptet fandt SSH- og GPG-nøgler i systemet, såvel som nogle typer filer fra hjemmebiblioteket og legitimationsoplysninger til PyCharm-projekter, og sendte dem derefter til en ekstern server, der kører på DigitalOcean-skyinfrastrukturen.
Kilde: opennet.ru