No directorio de paquetes de Python PyPI (índice de paquetes de Python)
O propio código malicioso estaba presente no paquete "jeIlyfish", e o paquete "python3-dateutil" utilizouno como dependencia.
Os nomes elixíronse en función dos usuarios desatentos que cometeron erros de dixitación ao buscar (
O paquete Jellyfish incluía código que descargaba unha lista de "hash" dun repositorio externo baseado en GitLab. A análise da lóxica para traballar con estes "hash" mostrou que conteñen un script codificado mediante a función base64 e lanzado despois da decodificación. O script atopou claves SSH e GPG no sistema, así como algúns tipos de ficheiros do directorio de inicio e credenciais para proxectos PyCharm, e despois enviounos a un servidor externo que se executa na infraestrutura de nube DigitalOcean.
Fonte: opennet.ru