Στον κατάλογο πακέτων Python PyPI (Ευρετήριο πακέτων Python) κακόβουλα πακέτα""Και"", τα οποία ανέβηκαν από έναν συγγραφέα olgired2017 και μεταμφιέστηκαν ως δημοφιλή πακέτα ""Και"" (διακρίνεται με τη χρήση του συμβόλου "I" (i) αντί του "l" (L) στο όνομα). Μετά την εγκατάσταση των καθορισμένων πακέτων, τα κλειδιά κρυπτογράφησης και τα εμπιστευτικά δεδομένα χρήστη που βρέθηκαν στο σύστημα στάλθηκαν στον διακομιστή του εισβολέα. Τα προβληματικά πακέτα έχουν πλέον αφαιρεθεί από τον κατάλογο PyPI.
Ο ίδιος ο κακόβουλος κώδικας υπήρχε στο πακέτο "jeIlyfish" και το πακέτο "python3-dateutil" τον χρησιμοποιούσε ως εξάρτηση.
Τα ονόματα επιλέχθηκαν με βάση απρόσεκτους χρήστες που έκαναν τυπογραφικά λάθη κατά την αναζήτηση (). Το κακόβουλο πακέτο «jeIlyfish» κατέβηκε πριν από περίπου ένα χρόνο, στις 11 Δεκεμβρίου 2018, και παρέμεινε απαρατήρητο. Το πακέτο "python3-dateutil" ανέβηκε στις 29 Νοεμβρίου 2019 και λίγες μέρες αργότερα προκάλεσε υποψίες σε έναν από τους προγραμματιστές. Δεν παρέχονται πληροφορίες σχετικά με τον αριθμό των εγκαταστάσεων κακόβουλων πακέτων.
Το πακέτο μεδουσών περιελάμβανε κώδικα που κατέβαζε μια λίστα με "hashes" από ένα εξωτερικό αποθετήριο που βασίζεται στο GitLab. Η ανάλυση της λογικής για την εργασία με αυτά τα "hashes" έδειξε ότι περιέχουν ένα σενάριο κωδικοποιημένο χρησιμοποιώντας τη συνάρτηση base64 και εκκινείται μετά την αποκωδικοποίηση. Το σενάριο βρήκε κλειδιά SSH και GPG στο σύστημα, καθώς και ορισμένους τύπους αρχείων από τον οικιακό κατάλογο και διαπιστευτήρια για έργα PyCharm και στη συνέχεια τα έστειλε σε έναν εξωτερικό διακομιστή που εκτελείται στην υποδομή cloud DigitalOcean.
Πηγή: opennet.ru