Dans le catalogue PyPI (Python Package Index), plusieurs packages ont été identifiés qui incluent du code pour l'extraction cachée de crypto-monnaie. Des problèmes étaient présents dans les packages maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib et learninglib, dont les noms ont été choisis pour être similaires en orthographe à ceux des bibliothèques populaires (matplotlib) dans l'espoir que l'utilisateur fasse une erreur lors de l'écriture et ne remarquez pas les différences (typesquatting). Les packages ont été publiés en avril sous le compte nedog123 et ont été téléchargés environ 5 XNUMX fois au total en deux mois.
Le code malveillant a été placé dans la bibliothèque maratlib, qui a été utilisée dans d'autres packages sous forme de dépendance. Le code malveillant a été masqué à l'aide d'un mécanisme d'obscurcissement propriétaire, non détecté par les utilitaires standard, et a été exécuté en exécutant le script de construction setup.py exécuté lors de l'installation du package. Depuis setup.py, il a été téléchargé depuis GitHub et le script bash aza.sh a été lancé, qui à son tour a téléchargé et lancé les applications d'extraction de crypto-monnaie Ubqminer ou T-Rex.
Source: opennet.ru