A PyPI (Python Package Index) katalógusban számos olyan csomagot azonosítottak, amelyek rejtett kriptovaluta bányászat kódját tartalmazzák. Problémák voltak a maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib és learninglib csomagokban, amelyek neveit úgy választották ki, hogy helyesírásukban hasonlóak legyenek a népszerű könyvtárakhoz (matplotlib), azzal a várakozással, hogy a felhasználó hibát követ el az íráskor és nem veszi észre a különbségeket (typesquatting). A csomagokat áprilisban adták fel a nedog123 fiók alatt, és összesen mintegy 5 ezer alkalommal töltötték le két hónap alatt.
A rosszindulatú kód a maratlib könyvtárba került, amelyet más csomagokban függőségi formában használtak. A rosszindulatú kódot egy szabadalmaztatott elfedési mechanizmus segítségével rejtették el, amelyet a szabványos segédprogramok nem észleltek, és a csomagtelepítés során végrehajtott setup.py összeállítási parancsfájl végrehajtásával hajtották végre. A setup.py webhelyről letöltötték a GitHubról, és elindult az aza.sh bash szkript, amely letöltötte és elindította az Ubqminer vagy T-Rex kriptovaluta bányász alkalmazásokat.
Forrás: opennet.ru