Nella directory del pacchetto Python PyPI (Python Package Index)
Il codice dannoso stesso era presente nel pacchetto "jeIlyfish" e il pacchetto "python3-dateutil" lo utilizzava come dipendenza.
I nomi sono stati scelti in base agli utenti disattenti che hanno commesso errori di battitura durante la ricerca (
Il pacchetto Jellyfish includeva codice che scaricava un elenco di "hash" da un repository esterno basato su GitLab. L'analisi della logica di lavoro con questi "hash" ha mostrato che contengono uno script codificato utilizzando la funzione base64 e avviato dopo la decodifica. Lo script ha trovato le chiavi SSH e GPG nel sistema, nonché alcuni tipi di file dalla directory home e le credenziali per i progetti PyCharm, quindi li ha inviati a un server esterno in esecuzione sull'infrastruttura cloud DigitalOcean.
Fonte: opennet.ru