PyPI (Python Package Index) kataloogis on tuvastatud mitu paketti, mis sisaldavad varjatud krüptoraha kaevandamise koodi. Probleeme esines pakettides maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib ja learninglib, mille nimed valiti õigekirja poolest populaarsete teekide (matplotlib) sarnaseks eeldusega, et kasutaja teeb kirjutamisel vea ja ei märka erinevusi (typesquatting). Paketid postitati aprillis konto nedog123 alla ja neid laaditi kahe kuu jooksul alla kokku umbes 5 tuhat korda.
Pahatahtlik kood paigutati maratlib teeki, mida kasutati sõltuvuse kujul teistes pakettides. Pahatahtlik kood peideti patenteeritud hägustamismehhanismi abil, mida standardsed utiliidid ei tuvastanud, ja see käivitati paketi installimise ajal käivitatud setup.py ehitusskripti käivitamisega. Setup.py saidilt laaditi see alla GitHubist ja käivitati bash-skript aza.sh, mis omakorda laadis alla ja käivitas krüptoraha kaevandamise rakendused Ubqminer või T-Rex.
Allikas: opennet.ru