Í Python pakkaskránni PyPI (Python Package Index)
Skaðlegi kóðinn sjálfur var til staðar í „jeIlyfish“ pakkanum og „python3-dateutil“ pakkinn notaði hann sem ósjálfstæði.
Nöfnin voru valin út frá athyglislausum notendum sem gerðu innsláttarvillur við leit (
Marglyttapakkinn innihélt kóða sem hlaðið niður lista yfir „kássa“ úr utanaðkomandi GitLab-byggðri geymslu. Greining á rökfræðinni fyrir að vinna með þessi „kássa“ sýndi að þau innihalda skriftu sem er umritað með því að nota base64 aðgerðina og ræst eftir afkóðun. Handritið fann SSH og GPG lykla í kerfinu, svo og nokkrar tegundir skráa úr heimaskránni og skilríki fyrir PyCharm verkefni, og sendi þær síðan á ytri netþjón sem keyrir á DigitalOcean skýjainnviði.
Heimild: opennet.ru