Στον κατάλογο PyPI (Python Package Index), έχουν εντοπιστεί αρκετά πακέτα που περιλαμβάνουν κώδικα για κρυφή εξόρυξη κρυπτονομισμάτων. Προβλήματα υπήρχαν στα πακέτα maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib και learninglib, τα ονόματα των οποίων επιλέχθηκαν να είναι παρόμοια στην ορθογραφία με τις δημοφιλείς βιβλιοθήκες (matplotlib) με την προσδοκία ότι ο χρήστης θα έκανε λάθος κατά τη σύνταξη και μην παρατηρήσετε τις διαφορές (typesquatting). Τα πακέτα δημοσιεύτηκαν τον Απρίλιο με τον λογαριασμό nedog123 και λήφθηκαν περίπου 5 χιλιάδες φορές συνολικά σε διάστημα δύο μηνών.
Ο κακόβουλος κώδικας τοποθετήθηκε στη βιβλιοθήκη maratlib, η οποία χρησιμοποιήθηκε σε άλλα πακέτα με τη μορφή εξάρτησης. Ο κακόβουλος κώδικας κρύφτηκε χρησιμοποιώντας έναν ιδιόκτητο μηχανισμό συσκότισης, δεν εντοπίστηκε από τυπικά βοηθητικά προγράμματα και εκτελέστηκε με την εκτέλεση του σεναρίου έκδοσης setup.py που εκτελέστηκε κατά την εγκατάσταση του πακέτου. Από το setup.py, έγινε λήψη από το GitHub και εκδόθηκε το σενάριο bash aza.sh, το οποίο με τη σειρά του κατέβασε και κυκλοφόρησε τις εφαρμογές εξόρυξης κρυπτονομισμάτων Ubqminer ή T-Rex.
Πηγή: opennet.ru