In eolaire pacáiste Python PyPI (Innéacs Pacáiste Python) pacáistí mailíseach""Agus"", a d'uaslódáil údar amháin olgired2017 agus a bhí faoi cheilt mar phacáistí coitianta""Agus"" (idirdhealaithe ag úsáid na siombaile "I" (i) in ionad "l" (L) san ainm). Tar éis na pacáistí sonraithe a shuiteáil, cuireadh eochracha criptithe agus sonraí úsáideora rúnda a fuarthas sa chóras chuig freastalaí an ionsaitheora. Tá na pacáistí fadhbacha bainte den eolaire PyPI anois.
Bhí an cód mailíseach féin i láthair sa phacáiste "jeIlyfish", agus d'úsáid an pacáiste "python3-dateutil" é mar spleáchas.
Roghnaíodh na hainmneacha bunaithe ar úsáideoirí gan aird a rinne clóscríobh agus iad ag cuardach (). Íoslódáladh an pacáiste mailíseach “jeIlyfish” tuairim is bliain ó shin, an 11 Nollaig 2018, agus níor tugadh faoi deara fós é. Uaslódáladh an pacáiste "python3-dateutil" an 29 Samhain, 2019 agus cúpla lá ina dhiaidh sin d'ardaigh amhras i measc ceann de na forbróirí. Ní sholáthraítear faisnéis maidir le líon suiteálacha na bpacáistí mailíseacha.
Áiríodh cód sa phacáiste smugairle róin a d’íoslódáil liosta “hashes” ó stór seachtrach bunaithe ar GitLab. Léirigh anailís ar an loighic chun oibriú leis na “hashes” seo go bhfuil script iontu a ionchódaíodh ag baint úsáide as an bhfeidhm base64 agus a seoladh tar éis díchódaithe. Fuair an script eochracha SSH agus GPG sa chóras, chomh maith le roinnt cineálacha comhaid ón eolaire baile agus dintiúir do thionscadail PyCharm, agus ansin iad a sheoladh chuig freastalaí seachtrach ag rith ar bhonneagar scamall DigitalOcean.
Foinse: oscailtenet.ru