Pythoni paketikataloogis PyPI (Python Package Index)
Pahatahtlik kood ise oli paketis "jeIlyfish" ja pakett "python3-dateutil" kasutas seda sõltuvusena.
Nimed valiti tähelepanematute kasutajate põhjal, kes tegid otsimisel kirjavigu (
Meduuside pakett sisaldas koodi, mis laadis välisest GitLabi-põhisest hoidlast alla räsinimekirja. Nende "räsidega" töötamise loogika analüüs näitas, et need sisaldavad skripti, mis on kodeeritud funktsiooni base64 abil ja käivitatud pärast dekodeerimist. Skript leidis süsteemist SSH- ja GPG-võtmed, samuti teatud tüüpi failid kodukataloogist ja PyCharmi projektide mandaadid ning saatis need seejärel DigitalOceani pilveinfrastruktuuris töötavasse välisserverisse.
Allikas: opennet.ru