Di direktori paket Python PyPI (Indeks Paket Python) paket berbahaya""Dan"", yang diunggah oleh salah satu penulis olgired2017 dan disamarkan sebagai paket populer""Dan"" (dibedakan dengan penggunaan simbol "I" (i) sebagai pengganti "l" (L) pada namanya). Setelah menginstal paket tertentu, kunci enkripsi dan data rahasia pengguna yang ditemukan dalam sistem dikirim ke server penyerang. Paket yang bermasalah kini telah dihapus dari direktori PyPI.
Kode berbahaya itu sendiri ada dalam paket "jeIlyfish", dan paket "python3-dateutil" menggunakannya sebagai ketergantungan.
Nama-nama tersebut dipilih berdasarkan kecerobohan pengguna yang melakukan kesalahan ketik saat mencari (). Paket berbahaya “jeIlyfish” diunduh sekitar setahun yang lalu, pada 11 Desember 2018, dan tetap tidak terdeteksi. Paket "python3-dateutil" diunggah pada 29 November 2019 dan beberapa hari kemudian menimbulkan kecurigaan di kalangan salah satu pengembang. Informasi mengenai jumlah instalasi paket berbahaya tidak disediakan.
Paket ubur-ubur menyertakan kode yang mengunduh daftar “hash” dari repositori eksternal berbasis GitLab. Analisis logika untuk bekerja dengan "hash" ini menunjukkan bahwa hash tersebut berisi skrip yang dikodekan menggunakan fungsi base64 dan diluncurkan setelah decoding. Skrip menemukan kunci SSH dan GPG di sistem, serta beberapa jenis file dari direktori home dan kredensial untuk proyek PyCharm, lalu mengirimkannya ke server eksternal yang berjalan pada infrastruktur cloud DigitalOcean.
Sumber: opennet.ru