Python-pakettihakemistossa PyPI (Python Package Index) haitalliset paketit""Ja"", jotka on ladattu yksi kirjoittaja olgired2017 ja naamioitu suosituiksi paketeiksi""Ja"" (erottuu nimellä "I" (i) tunnuksen "l" (L) sijasta). Määritettyjen pakettien asennuksen jälkeen järjestelmästä löydetyt salausavaimet ja luottamukselliset käyttäjätiedot lähetettiin hyökkääjän palvelimelle. Ongelmalliset paketit on nyt poistettu PyPI-hakemistosta.
Itse haitallinen koodi oli "jeIlyfish"-paketissa, ja "python3-dateutil"-paketti käytti sitä riippuvuutena.
Nimet valittiin huolimattomien käyttäjien perusteella, jotka tekivät kirjoitusvirheitä haussa (). Haitallinen paketti "jeIlyfish" ladattiin noin vuosi sitten, 11. joulukuuta 2018, ja jäi havaitsematta. Paketti "python3-dateutil" ladattiin 29 ja muutamaa päivää myöhemmin herätti epäilyksiä yhdessä kehittäjistä. Tietoja haitallisten pakettien asennusten määrästä ei anneta.
Meduusapaketti sisälsi koodin, joka latasi luettelon "tiivisteistä" ulkoisesta GitLab-pohjaisesta arkistosta. Näiden "tiiviste" kanssa työskentelyn logiikan analyysi osoitti, että ne sisältävät komentosarjan, joka on koodattu base64-funktiolla ja käynnistetty dekoodauksen jälkeen. Skripti löysi järjestelmästä SSH- ja GPG-avaimet sekä tietyntyyppisiä tiedostoja kotihakemistosta ja PyCharm-projektien tunnistetiedot ja lähetti ne sitten DigitalOcean-pilviinfrastruktuurissa toimivalle ulkoiselle palvelimelle.
Lähde: opennet.ru