Pythoni paketikataloogis PyPI (Python Package Index) pahatahtlikud paketid""Ja"", mille laadis üles üks autor olgired2017 ja maskeeriti populaarsete pakettidena""Ja"" (eristab nimes sümboli "l" (L) asemel sümboli "I" (i) kasutamine). Pärast määratud pakettide installimist saadeti süsteemist leitud krüpteerimisvõtmed ja konfidentsiaalsed kasutajaandmed ründaja serverisse. Probleemsed paketid on nüüd PyPI kataloogist eemaldatud.
Pahatahtlik kood ise oli paketis "jeIlyfish" ja pakett "python3-dateutil" kasutas seda sõltuvusena.
Nimed valiti tähelepanematute kasutajate põhjal, kes tegid otsimisel kirjavigu (). Pahatahtlik pakett “jeIlyfish” laaditi alla umbes aasta tagasi, 11. detsembril 2018, ja jäi avastamata. Pakett "python3-dateutil" laaditi üles 29. novembril 2019 ja tekitas paar päeva hiljem ühes arendajas kahtlust. Teavet pahatahtlike pakettide installimiste arvu kohta ei esitata.
Meduuside pakett sisaldas koodi, mis laadis välisest GitLabi-põhisest hoidlast alla räsinimekirja. Nende "räsidega" töötamise loogika analüüs näitas, et need sisaldavad skripti, mis on kodeeritud funktsiooni base64 abil ja käivitatud pärast dekodeerimist. Skript leidis süsteemist SSH- ja GPG-võtmed, samuti teatud tüüpi failid kodukataloogist ja PyCharmi projektide mandaadid ning saatis need seejärel DigitalOceani pilveinfrastruktuuris töötavasse välisserverisse.
Allikas: opennet.ru