Python-pakettihakemistossa PyPI (Python Package Index)
Itse haitallinen koodi oli "jeIlyfish"-paketissa, ja "python3-dateutil"-paketti käytti sitä riippuvuutena.
Nimet valittiin huolimattomien käyttäjien perusteella, jotka tekivät kirjoitusvirheitä haussa (
Meduusapaketti sisälsi koodin, joka latasi luettelon "tiivisteistä" ulkoisesta GitLab-pohjaisesta arkistosta. Näiden "tiiviste" kanssa työskentelyn logiikan analyysi osoitti, että ne sisältävät komentosarjan, joka on koodattu base64-funktiolla ja käynnistetty dekoodauksen jälkeen. Skripti löysi järjestelmästä SSH- ja GPG-avaimet sekä tietyntyyppisiä tiedostoja kotihakemistosta ja PyCharm-projektien tunnistetiedot ja lähetti ne sitten DigitalOcean-pilviinfrastruktuurissa toimivalle ulkoiselle palvelimelle.
Lähde: opennet.ru