Dans le répertoire du package Python PyPI (Python Package Index)
Le code malveillant lui-même était présent dans le package « jeIlyfish », et le package « python3-dateutil » l'utilisait comme dépendance.
Les noms ont été choisis en fonction d'utilisateurs inattentifs qui ont fait des fautes de frappe lors de la recherche (
Le package Jellyfish comprenait du code qui téléchargeait une liste de « hachages » à partir d’un référentiel externe basé sur GitLab. L'analyse de la logique de travail avec ces « hachages » a montré qu'ils contiennent un script codé à l'aide de la fonction base64 et lancé après décodage. Le script a trouvé les clés SSH et GPG dans le système, ainsi que certains types de fichiers du répertoire personnel et les informations d'identification des projets PyCharm, puis les a envoyés à un serveur externe exécuté sur l'infrastructure cloud DigitalOcean.
Source: opennet.ru