U direktoriju Python paketa PyPI (Python Package Index) zlonamjerni paketi""A"", koje je postavio jedan autor olgired2017 i prerušene u popularne pakete ""A"" (razlikuje se upotrebom simbola "I" (i) umjesto "l" (L) u imenu). Nakon instaliranja navedenih paketa, ključevi enkripcije i povjerljivi korisnički podaci pronađeni u sustavu poslani su na poslužitelj napadača. Problematični paketi sada su uklonjeni iz PyPI direktorija.
Sam maliciozni kod bio je prisutan u paketu "jeIlyfish", a paket "python3-dateutil" koristio ga je kao ovisnost.
Imena su odabrana na temelju nepažljivih korisnika koji su pravili pogreške prilikom pretraživanja (). Zlonamjerni paket “jeIlyfish” preuzet je prije otprilike godinu dana, 11. prosinca 2018. i ostao je neotkriven. Paket "python3-dateutil" postavljen je 29. studenog 2019. i nekoliko dana kasnije izazvao je sumnju kod jednog od programera. Podaci o broju instalacija zlonamjernih paketa nisu navedeni.
Paket jellyfish uključivao je kod koji je preuzeo popis "hasheva" iz vanjskog repozitorija temeljenog na GitLabu. Analiza logike za rad s ovim "hashevima" pokazala je da oni sadrže skriptu kodiranu pomoću funkcije base64 i pokrenutu nakon dekodiranja. Skripta je pronašla SSH i GPG ključeve u sustavu, kao i neke vrste datoteka iz matičnog direktorija i vjerodajnice za PyCharm projekte, a zatim ih je poslala vanjskom poslužitelju koji radi na infrastrukturi oblaka DigitalOcean.
Izvor: opennet.ru