En el directorio del paquete Python PyPI (Índice de paquetes Python) paquetes maliciosos ""Y"", que fueron subidos por un autor olgired2017 y disfrazados de paquetes populares ""Y"" (se distingue por el uso del símbolo "I" (i) en lugar de "l" (L) en el nombre). Después de instalar los paquetes especificados, las claves de cifrado y los datos confidenciales del usuario encontrados en el sistema se enviaron al servidor del atacante. Los paquetes problemáticos ahora se han eliminado del directorio PyPI.
El código malicioso en sí estaba presente en el paquete "jeIlyfish" y el paquete "python3-dateutil" lo usaba como dependencia.
Los nombres fueron elegidos en base a usuarios distraídos que cometieron errores tipográficos al buscar (). El paquete malicioso “jeIlyfish” se descargó hace aproximadamente un año, el 11 de diciembre de 2018, y no fue detectado. El paquete "python3-dateutil" se subió el 29 de noviembre de 2019 y unos días después despertó sospechas entre uno de los desarrolladores. No se proporciona información sobre la cantidad de instalaciones de paquetes maliciosos.
El paquete Jellyfish incluía código que descargaba una lista de "hashes" de un repositorio externo basado en GitLab. El análisis de la lógica para trabajar con estos "hashes" mostró que contienen un script codificado usando la función base64 y lanzado después de la decodificación. El script encontró claves SSH y GPG en el sistema, así como algunos tipos de archivos del directorio de inicio y credenciales para proyectos de PyCharm, y luego los envió a un servidor externo que se ejecuta en la infraestructura de nube de DigitalOcean.
Fuente: opennet.ru