Di direktori paket Python PyPI (Indeks Paket Python)
Kode berbahaya itu sendiri ada dalam paket "jeIlyfish", dan paket "python3-dateutil" menggunakannya sebagai ketergantungan.
Nama-nama tersebut dipilih berdasarkan kecerobohan pengguna yang melakukan kesalahan ketik saat mencari (
Paket ubur-ubur menyertakan kode yang mengunduh daftar “hash” dari repositori eksternal berbasis GitLab. Analisis logika untuk bekerja dengan "hash" ini menunjukkan bahwa hash tersebut berisi skrip yang dikodekan menggunakan fungsi base64 dan diluncurkan setelah decoding. Skrip menemukan kunci SSH dan GPG di sistem, serta beberapa jenis file dari direktori home dan kredensial untuk proyek PyCharm, lalu mengirimkannya ke server eksternal yang berjalan pada infrastruktur cloud DigitalOcean.
Sumber: opennet.ru