Im Python-Paketverzeichnis PyPI (Python Package Index)
Der Schadcode selbst war im Paket „jeIlyfish“ vorhanden und wurde vom Paket „python3-dateutil“ als Abhängigkeit verwendet.
Die Namen wurden aufgrund unaufmerksamer Benutzer ausgewählt, die bei der Suche Tippfehler gemacht haben (
Das Jellyfish-Paket enthielt Code, der eine Liste von „Hashes“ von einem externen GitLab-basierten Repository herunterlud. Die Analyse der Logik für die Arbeit mit diesen „Hashes“ ergab, dass sie ein Skript enthalten, das mit der Base64-Funktion codiert und nach der Dekodierung gestartet wurde. Das Skript fand SSH- und GPG-Schlüssel im System sowie einige Dateitypen aus dem Home-Verzeichnis und Anmeldeinformationen für PyCharm-Projekte und sendete sie dann an einen externen Server, der auf der DigitalOcean-Cloud-Infrastruktur läuft.
Source: opennet.ru