U direktoriju Python paketa PyPI (Python Package Index)
Sam maliciozni kod bio je prisutan u paketu "jeIlyfish", a paket "python3-dateutil" koristio ga je kao ovisnost.
Imena su odabrana na temelju nepažljivih korisnika koji su pravili pogreške prilikom pretraživanja (
Paket jellyfish uključivao je kod koji je preuzeo popis "hasheva" iz vanjskog repozitorija temeljenog na GitLabu. Analiza logike za rad s ovim "hashevima" pokazala je da oni sadrže skriptu kodiranu pomoću funkcije base64 i pokrenutu nakon dekodiranja. Skripta je pronašla SSH i GPG ključeve u sustavu, kao i neke vrste datoteka iz matičnog direktorija i vjerodajnice za PyCharm projekte, a zatim ih je poslala vanjskom poslužitelju koji radi na infrastrukturi oblaka DigitalOcean.
Izvor: opennet.ru