U katalogu PyPI (Python Package Index) identificirano je nekoliko paketa koji uključuju kod za skriveno rudarenje kriptovalute. Problemi su bili prisutni u paketima maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib i learninglib, čiji su nazivi odabrani tako da su pravopisno slični popularnim bibliotekama (matplotlib) s očekivanjem da će korisnik pogriješiti prilikom pisanja i ne primjećuju razlike (typesquatting). Paketi su postavljeni u travnju pod računom nedog123 i ukupno su u dva mjeseca preuzeti oko 5 tisuća puta.
Zlonamjerni kod smješten je u knjižnicu maratlib, koja je korištena u drugim paketima u obliku ovisnosti. Zlonamjerni kod bio je skriven korištenjem vlasničkog mehanizma maskiranja, koji standardni uslužni programi nisu otkrili, a izvršen je izvršavanjem skripte za izgradnju setup.py koja se izvodi tijekom instalacije paketa. Sa setup.py, preuzet je s GitHuba i pokrenuta je bash skripta aza.sh, koja je pak preuzela i pokrenula aplikacije za rudarenje kriptovalute Ubqminer ili T-Rex.
Izvor: opennet.ru