En el directorio del paquete Python PyPI (Índice de paquetes Python)
El código malicioso en sí estaba presente en el paquete "jeIlyfish" y el paquete "python3-dateutil" lo usaba como dependencia.
Los nombres fueron elegidos en base a usuarios distraídos que cometieron errores tipográficos al buscar (
El paquete Jellyfish incluía código que descargaba una lista de "hashes" de un repositorio externo basado en GitLab. El análisis de la lógica para trabajar con estos "hashes" mostró que contienen un script codificado usando la función base64 y lanzado después de la decodificación. El script encontró claves SSH y GPG en el sistema, así como algunos tipos de archivos del directorio de inicio y credenciales para proyectos de PyCharm, y luego los envió a un servidor externo que se ejecuta en la infraestructura de nube de DigitalOcean.
Fuente: opennet.ru