Python փաթեթների Python Package Index (PyPI) գրացուցակում վնասակար փաթեթներ»"Եւ"«, որոնք վերբեռնվել են մեկ հեղինակի՝ olgired2017-ի կողմից և քողարկվել են որպես հայտնի փաթեթներ»"Եւ"(տարբերվում է անվան մեջ «l» (L) նիշի փոխարեն «I» (i) նիշի օգտագործմամբ): Վերոնշյալ փաթեթները տեղադրելուց հետո, համակարգում հայտնաբերված կոդավորման բանալիները և գաղտնի օգտատիրոջ տվյալները ուղարկվել են հարձակվողի սերվերին: Խնդրահարույց փաթեթները այժմ հեռացվել են PyPI գրացուցակից:
Վնասակար կոդն ինքնին առկա էր «jeIlyfish» փաթեթում, իսկ «python3-dateutil» փաթեթն այն օգտագործում էր որպես կախվածություն։
Անունները ընտրվել են այն ակնկալիքով, որ անուշադիր օգտատերերը կարող են սխալներ թույլ տալ որոնման ժամանակ ()։ Վնասակար «jeIlyfish» փաթեթը վերբեռնվել է մոտ մեկ տարի առաջ՝ 2018 թվականի դեկտեմբերի 11-ին, և մնացել է աննկատ։ «python3-dateutil» փաթեթը վերբեռնվել է 2019 թվականի նոյեմբերի 29-ին, և մի քանի օր անց կասկածներ է առաջացրել մշակողներից մեկի մոտ։ Վնասակար փաթեթների տեղադրումների քանակի մասին տեղեկություններ չկան։
Մեդուզա փաթեթը ներառում էր կոդ, որը ներբեռնում էր «հեշերի» ցանկ արտաքին GitLab-ի վրա հիմնված պահոցից: Այս «հեշերի» տրամաբանության վերլուծությունը ցույց տվեց, որ դրանք պարունակում էին base64 կոդավորված սկրիպտ, որը կատարվում էր վերծանումից հետո: Սկրիպտը համակարգից վերցնում էր SSH և GPG բանալիները, ինչպես նաև որոշակի ֆայլերի տեսակներ տնային գրացուցակից և PyCharm նախագծերի հավատարմագրերը, ապա դրանք ուղարկում էր DigitalOcean ամպային ենթակառուցվածքի վրա աշխատող արտաքին սերվերի:
Source: opennet.ru
