Yn de Python-pakketmap PyPI (Python Package Index) kweade pakketten""En"", dy't waarden uploaden troch ien auteur olgired2017 en ferklaaid as populêre pakketten ""En"" (ûnderskaat troch it brûken fan it symboal "I" (i) ynstee fan "l" (L) yn 'e namme). Nei it ynstallearjen fan de oantsjutte pakketten, waarden fersiferingskaaien en fertroulike brûkersgegevens fûn yn it systeem nei de server fan 'e oanfaller stjoerd. De problematyske pakketten binne no fuorthelle út de PyPI-map.
De kweade koade sels wie oanwêzich yn it pakket "jeIlyfish", en it pakket "python3-dateutil" brûkte it as ôfhinklikens.
De nammen waarden keazen op basis fan ûnopmerklike brûkers dy't typfouten makken by it sykjen (). It kweade pakket "jeIlyfish" waard sawat in jier lyn downloade, op desimber 11, 2018, en bleau net ûntdutsen. It pakket "python3-dateutil" waard op 29 novimber 2019 upload en in pear dagen letter wekker erchtinkens by ien fan 'e ûntwikkelders. Ynformaasje oer it oantal ynstallaasjes fan kweade pakketten wurdt net levere.
It kwallenpakket omfette koade dy't in list mei "hashes" downloade fan in eksterne GitLab-basearre repository. Analyse fan 'e logika foar it wurkjen mei dizze "hashes" die bliken dat se in skript befetsje dat kodearre is mei de base64-funksje en lansearre nei dekodearring. It skript fûn SSH- en GPG-kaaien yn it systeem, lykas guon soarten bestannen út 'e thúsmap en bewiisbrieven foar PyCharm-projekten, en stjoerde se dan nei in eksterne server dy't rint op' e DigitalOcean-wolkynfrastruktuer.
Boarne: opennet.ru