Dans le répertoire du package Python PyPI (Python Package Index) paquets malveillants ""Et"", qui ont été téléchargés par un auteur olgired2017 et déguisés en packages populaires ""Et"" (se distingue par l'utilisation du symbole "I" (i) au lieu de "l" (L) dans le nom). Après avoir installé les packages spécifiés, les clés de cryptage et les données utilisateur confidentielles trouvées dans le système ont été envoyées au serveur de l’attaquant. Les packages problématiques ont désormais été supprimés du répertoire PyPI.
Le code malveillant lui-même était présent dans le package « jeIlyfish », et le package « python3-dateutil » l'utilisait comme dépendance.
Les noms ont été choisis en fonction d'utilisateurs inattentifs qui ont fait des fautes de frappe lors de la recherche (). Le package malveillant « jeIlyfish » a été téléchargé il y a environ un an, le 11 décembre 2018, et n'a pas été détecté. Le package "python3-dateutil" a été mis en ligne le 29 novembre 2019 et a éveillé quelques jours plus tard les soupçons d'un des développeurs. Les informations sur le nombre d'installations de packages malveillants ne sont pas fournies.
Le package Jellyfish comprenait du code qui téléchargeait une liste de « hachages » à partir d’un référentiel externe basé sur GitLab. L'analyse de la logique de travail avec ces « hachages » a montré qu'ils contiennent un script codé à l'aide de la fonction base64 et lancé après décodage. Le script a trouvé les clés SSH et GPG dans le système, ainsi que certains types de fichiers du répertoire personnel et les informations d'identification des projets PyCharm, puis les a envoyés à un serveur externe exécuté sur l'infrastructure cloud DigitalOcean.
Source: opennet.ru