Python paketeen direktorioa PyPI (Python paketeen indizea) pakete gaiztoak""Eta"", egile batek olgired2017 kargatu zituen eta pakete ezagunez mozorrotu zirenak ""Eta"" (izenen "I" (i) ikurraren ordez "l" (L) erabiltzeagatik bereizten da). Zehaztutako paketeak instalatu ondoren, enkriptatze-gakoak eta sisteman aurkitutako isilpeko erabiltzaile-datuak erasotzailearen zerbitzarira bidali ziren. Pakete arazotsuak PyPI direktoriotik kendu dira.
Kode gaiztoa bera "jeIlyfish" paketean zegoen, eta "python3-dateutil" paketeak mendekotasun gisa erabiltzen zuen.
Izenak bilaketak egitean akatsak egin dituzten erabiltzaile arretagabeen arabera aukeratu dira (). "JeIlyfish" pakete gaiztoa duela urtebete inguru deskargatu zen, 11ko abenduaren 2018n, eta detektatu gabe geratu zen. "python3-dateutil" paketea 29ko azaroaren 2019an kargatu zen eta egun batzuk geroago susmoak piztu zituen garatzaileetako baten artean. Maltzurren paketeen instalazio kopuruari buruzko informazioa ez da ematen.
Medusen paketeak GitLab-en oinarritutako kanpoko biltegi batetik "hash" zerrenda bat deskargatzen zuen kodea barne hartzen zuen. "Hash" hauekin lan egiteko logikaren analisiak ikusi zuen base64 funtzioa erabiliz kodetutako script bat dutela eta deskodetu ondoren abiarazitakoa. Scriptak SSH eta GPG gakoak aurkitu zituen sisteman, baita PyCharm proiektuetarako hasierako direktorioko fitxategi mota batzuk eta kredentzialak ere, eta gero DigitalOcean hodeiko azpiegituran exekutatzen den kanpoko zerbitzari batera bidali zituen.
Iturria: opennet.ru