No directorio de paquetes de Python PyPI (índice de paquetes de Python) paquetes maliciosos""E"", que foron cargados por un autor olgired2017 e disfrazados de paquetes populares ""E"" (distinguido polo uso do símbolo "I" (i) en lugar de "l" (L) no nome). Despois de instalar os paquetes especificados, as claves de cifrado e os datos confidenciais do usuario atopados no sistema foron enviados ao servidor do atacante. Os paquetes problemáticos elimináronse agora do directorio PyPI.
O propio código malicioso estaba presente no paquete "jeIlyfish", e o paquete "python3-dateutil" utilizouno como dependencia.
Os nomes elixíronse en función dos usuarios desatentos que cometeron erros de dixitación ao buscar (). O paquete malicioso "jeIlyfish" descargouse hai aproximadamente un ano, o 11 de decembro de 2018, e non se detectou. O paquete "python3-dateutil" cargouse o 29 de novembro de 2019 e uns días despois espertou sospeitas entre un dos desenvolvedores. Non se proporciona información sobre o número de instalacións de paquetes maliciosos.
O paquete Jellyfish incluía código que descargaba unha lista de "hash" dun repositorio externo baseado en GitLab. A análise da lóxica para traballar con estes "hash" mostrou que conteñen un script codificado mediante a función base64 e lanzado despois da decodificación. O script atopou claves SSH e GPG no sistema, así como algúns tipos de ficheiros do directorio de inicio e credenciais para proxectos PyCharm, e despois enviounos a un servidor externo que se executa na infraestrutura de nube DigitalOcean.
Fonte: opennet.ru