Python パッケージ ディレクトリ PyPI (Python Package Index) 内
悪意のあるコード自体は「jeIlyfish」パッケージに存在し、「python3-dateutil」パッケージはそれを依存関係として使用していました。
名前は、検索時にタイプミスをした不注意なユーザーに基づいて選択されました (
jellyfish パッケージには、外部の GitLab ベースのリポジトリから「ハッシュ」のリストをダウンロードするコードが含まれていました。 これらの「ハッシュ」を操作するためのロジックを分析したところ、base64 関数を使用してエンコードされ、デコード後に起動されたスクリプトが含まれていることがわかりました。 スクリプトは、システム内の SSH キーと GPG キー、ホーム ディレクトリからのいくつかの種類のファイル、および PyCharm プロジェクトの認証情報を検出し、それらを DigitalOcean クラウド インフラストラクチャ上で実行されている外部サーバーに送信しました。
出所: オープンネット.ru