Í Python pakkaskránni PyPI (Python Package Index) skaðlegir pakkar""Og"", sem var hlaðið upp af einum höfundi olgired2017 og dulbúnir sem vinsælir pakkar ""Og"" (aðgreindur með notkun táknsins "I" (i) í stað "l" (L) í nafninu). Eftir uppsetningu tilgreindra pakka voru dulkóðunarlyklar og trúnaðargögn notenda sem fundust í kerfinu send á netþjón árásarmannsins. Vandræðapakkarnir hafa nú verið fjarlægðir úr PyPI skránni.
Skaðlegi kóðinn sjálfur var til staðar í „jeIlyfish“ pakkanum og „python3-dateutil“ pakkinn notaði hann sem ósjálfstæði.
Nöfnin voru valin út frá athyglislausum notendum sem gerðu innsláttarvillur við leit (). Skaðlegi pakkinn „jeIlyfish“ var hlaðið niður fyrir um ári síðan, 11. desember 2018, og sást ekki. Pakkinn „python3-dateutil“ var hlaðið upp 29. nóvember 2019 og nokkrum dögum síðar vakti grunsemdir meðal eins þróunaraðilanna. Upplýsingar um fjölda uppsetningar á skaðlegum pakka eru ekki veittar.
Marglyttapakkinn innihélt kóða sem hlaðið niður lista yfir „kássa“ úr utanaðkomandi GitLab-byggðri geymslu. Greining á rökfræðinni fyrir að vinna með þessi „kássa“ sýndi að þau innihalda skriftu sem er umritað með því að nota base64 aðgerðina og ræst eftir afkóðun. Handritið fann SSH og GPG lykla í kerfinu, svo og nokkrar tegundir skráa úr heimaskránni og skilríki fyrir PyCharm verkefni, og sendi þær síðan á ytri netþjón sem keyrir á DigitalOcean skýjainnviði.
Heimild: opennet.ru