Í Python Package Index (PyPI) möppunni yfir Python pakka illgjarn pakkar""Og"„, sem voru hlaðið upp af einum höfundi olgired2017 og dulbúnir sem vinsælir pakkar“"Og"(auðkennt með notkun á stafnum „I“ (i) í stað stafsins „l“ (L) í nafninu). Eftir að áðurnefndir pakkar voru settir upp voru dulkóðunarlyklar og trúnaðargögn notenda sem fundust í kerfinu send á netþjón árásarmannsins. Vandræðalegu pakkarnir hafa nú verið fjarlægðir úr PyPI möppunni.
Illgjarni kóðinn sjálfur var til staðar í „jeIlyfish“ pakkanum og „python3-dateutil“ pakkinn notaði hann sem ósjálfstæði.
Nöfnin voru valin með það í huga að óupplýstir notendur gætu gert innsláttarvillur við leit (). Illgjarna pakkinn „jeIlyfish“ var hlaðið inn fyrir um ári síðan, þann 11. desember 2018, og fannst ekki. Pakkinn „python3-dateutil“ var hlaðið inn 29. nóvember 2019 og nokkrum dögum síðar vakti hann grunsemdir eins af forriturunum. Engar upplýsingar eru tiltækar um fjölda uppsetninga á illgjarna pakkanum.
Pakkinn fyrir marglytturnar innihélt kóða sem sótti lista af „hraðlyklum“ úr utanaðkomandi geymslu á GitLab. Greining á rökfræðinni á bak við þessi „hraðlykil“ leiddi í ljós að þau innihéldu base64-kóðað handrit sem var keyrt eftir afkóðun. Handritið sótti SSH- og GPG-lykla úr kerfinu, sem og ákveðnar skráartegundir úr heimaskránni og innskráningarupplýsingar fyrir PyCharm verkefni, og sendi þá síðan á utanaðkomandi netþjón sem keyrir á skýjainnviðum DigitalOcean.
Heimild: opennet.ru
