Nella directory del pacchetto Python PyPI (Python Package Index) pacchetti dannosi""E"", che sono stati caricati da un autore olgired2017 e camuffati da pacchetti popolari ""E"" (distinto dall'uso del simbolo "I" (i) al posto di "l" (L) nel nome). Dopo aver installato i pacchetti specificati, le chiavi di crittografia e i dati utente riservati trovati nel sistema venivano inviati al server dell’aggressore. I pacchetti problematici sono stati ora rimossi dalla directory PyPI.
Il codice dannoso stesso era presente nel pacchetto "jeIlyfish" e il pacchetto "python3-dateutil" lo utilizzava come dipendenza.
I nomi sono stati scelti in base agli utenti disattenti che hanno commesso errori di battitura durante la ricerca (). Il pacchetto dannoso “jeIlyfish” è stato scaricato circa un anno fa, l’11 dicembre 2018, ed è rimasto inosservato. Il pacchetto "python3-dateutil" è stato caricato il 29 novembre 2019 e pochi giorni dopo ha destato sospetti in uno degli sviluppatori. Non vengono fornite informazioni sul numero di installazioni di pacchetti dannosi.
Il pacchetto Jellyfish includeva codice che scaricava un elenco di "hash" da un repository esterno basato su GitLab. L'analisi della logica di lavoro con questi "hash" ha mostrato che contengono uno script codificato utilizzando la funzione base64 e avviato dopo la decodifica. Lo script ha trovato le chiavi SSH e GPG nel sistema, nonché alcuni tipi di file dalla directory home e le credenziali per i progetti PyCharm, quindi li ha inviati a un server esterno in esecuzione sull'infrastruttura cloud DigitalOcean.
Fonte: opennet.ru