Nel catalogo PyPI (Python Package Index) sono stati identificati diversi pacchetti che includono codice per il mining nascosto di criptovalute. Erano presenti problemi nei pacchetti maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib e learninglib, i cui nomi sono stati scelti per essere simili nell'ortografia alle librerie popolari (matplotlib) con l'aspettativa che l'utente commettesse un errore durante la scrittura e non notare le differenze (typesquatting). I pacchetti sono stati pubblicati ad aprile sull'account nedog123 e in due mesi sono stati scaricati complessivamente circa 5mila volte.
Il codice dannoso Γ¨ stato inserito nella libreria maratlib, che veniva utilizzata come dipendenza in altri pacchetti. Il codice dannoso Γ¨ stato nascosto utilizzando un meccanismo di offuscamento proprietario, non rilevato dalle utility standard, ed Γ¨ stato eseguito eseguendo lo script di build setup.py eseguito durante l'installazione del pacchetto. Da setup.py, Γ¨ stato scaricato da GitHub ed Γ¨ stato lanciato lo script bash aza.sh, che a sua volta ha scaricato e lanciato le applicazioni di mining di criptovaluta Ubqminer o T-Rex.
Fonte: opennet.ru