Python փաթեթի գրացուցակում PyPI (Python փաթեթի ինդեքս)
Վնասակար կոդը ինքնին առկա էր «jeIlyfish» փաթեթում, իսկ «python3-dateutil» փաթեթն այն օգտագործում էր որպես կախվածություն։
Անուններն ընտրվել են անուշադիր օգտատերերի հիման վրա, ովքեր որոնելիս տառասխալներ են թույլ տվել (
Մետրուզայի փաթեթը ներառում էր ծածկագիր, որը ներբեռնում էր «հեշների» ցուցակը GitLab-ի վրա հիմնված արտաքին պահոցից: Այս «հեշերի» հետ աշխատելու տրամաբանության վերլուծությունը ցույց է տվել, որ դրանք պարունակում են սկրիպտ, որը կոդավորված է base64 ֆունկցիայի միջոցով և գործարկվել է վերծանումից հետո: Սցենարը գտել է SSH և GPG ստեղներ համակարգում, ինչպես նաև որոշ տեսակի ֆայլեր տնային գրացուցակից և PyCharm նախագծերի հավատարմագրերը, այնուհետև դրանք ուղարկել արտաքին սերվեր, որն աշխատում է DigitalOcean ամպային ենթակառուցվածքի վրա:
Source: opennet.ru