Im Python-Paketverzeichnis PyPI (Python Package Index) bösartige Pakete ""Und"„, die von einem Autor olgired2017 hochgeladen und als beliebte Pakete getarnt wurden“"Und"" (gekennzeichnet durch die Verwendung des Symbols „I“ (i) anstelle von „l“ (L) im Namen). Nach der Installation der angegebenen Pakete wurden im System gefundene Verschlüsselungsschlüssel und vertrauliche Benutzerdaten an den Server des Angreifers gesendet. Die problematischen Pakete wurden nun aus dem PyPI-Verzeichnis entfernt.
Der Schadcode selbst war im Paket „jeIlyfish“ vorhanden und wurde vom Paket „python3-dateutil“ als Abhängigkeit verwendet.
Die Namen wurden aufgrund unaufmerksamer Benutzer ausgewählt, die bei der Suche Tippfehler gemacht haben (). Das Schadpaket „jeIlyfish“ wurde vor etwa einem Jahr, am 11. Dezember 2018, heruntergeladen und blieb unentdeckt. Das Paket „python3-dateutil“ wurde am 29. November 2019 hochgeladen und erregte wenige Tage später Verdacht bei einem der Entwickler. Angaben zur Anzahl der Installationen schädlicher Pakete werden nicht gemacht.
Das Jellyfish-Paket enthielt Code, der eine Liste von „Hashes“ von einem externen GitLab-basierten Repository herunterlud. Die Analyse der Logik für die Arbeit mit diesen „Hashes“ ergab, dass sie ein Skript enthalten, das mit der Base64-Funktion codiert und nach der Dekodierung gestartet wurde. Das Skript fand SSH- und GPG-Schlüssel im System sowie einige Dateitypen aus dem Home-Verzeichnis und Anmeldeinformationen für PyCharm-Projekte und sendete sie dann an einen externen Server, der auf der DigitalOcean-Cloud-Infrastruktur läuft.
Source: opennet.ru