Στον κατάλογο πακέτων Python PyPI (Ευρετήριο πακέτων Python)
Ο ίδιος ο κακόβουλος κώδικας υπήρχε στο πακέτο "jeIlyfish" και το πακέτο "python3-dateutil" τον χρησιμοποιούσε ως εξάρτηση.
Τα ονόματα επιλέχθηκαν με βάση απρόσεκτους χρήστες που έκαναν τυπογραφικά λάθη κατά την αναζήτηση (
Το πακέτο μεδουσών περιελάμβανε κώδικα που κατέβαζε μια λίστα με "hashes" από ένα εξωτερικό αποθετήριο που βασίζεται στο GitLab. Η ανάλυση της λογικής για την εργασία με αυτά τα "hashes" έδειξε ότι περιέχουν ένα σενάριο κωδικοποιημένο χρησιμοποιώντας τη συνάρτηση base64 και εκκινείται μετά την αποκωδικοποίηση. Το σενάριο βρήκε κλειδιά SSH και GPG στο σύστημα, καθώς και ορισμένους τύπους αρχείων από τον οικιακό κατάλογο και διαπιστευτήρια για έργα PyCharm και στη συνέχεια τα έστειλε σε έναν εξωτερικό διακομιστή που εκτελείται στην υποδομή cloud DigitalOcean.
Πηγή: opennet.ru