Di pelrêça pakêta Python de PyPI (Indeksa Pakêta Python) pakêtên xerab""And"", yên ku ji hêla nivîskarek olgired2017 ve hatin barkirin û wekî pakêtên populer hatin veşartin""And"" (bi karanîna nîşana "I" (i) li şûna "l" (L) di nav de tê cûda kirin). Piştî sazkirina pakêtên diyarkirî, mifteyên şîfrekirinê û daneyên bikarhêner ên nepenî yên ku di pergalê de hatine dîtin ji servera êrîşkar re hatin şandin. Naha pakêtên pirsgirêk ji pelrêça PyPI hatine rakirin.
Koda xerab bixwe di pakêta "jeIlyfish" de hebû, û pakêta "python3-dateutil" ew wekî pêwendiyek bikar anî.
Nav li gorî bikarhênerên bêhiş ku di lêgerînê de xeletiyên tîpîk çêkirine hatine hilbijartin (). Pakêta xerab "jeIlyfish" bi qasî salek berê, di 11ê Kanûna Pêşiyê, 2018an de hat dakêşandin û nehat dîtin. Pakêta "python3-dateutil" di 29-ê Mijdara 2019-an de hate barkirin û çend roj şûnda di nav yek ji pêşdebiran de guman derxist. Agahdarî li ser hejmara sazkirinên pakêtên xirab nayê peyda kirin.
Di pakêta jellyfish de kodek heye ku navnîşek "hashes" ji depoyek bingehîn a GitLab-ê ya derveyî dakêşandiye. Analîza mantiqa xebata bi van "haş"an re destnîşan kir ku di wan de skrîptek heye ku bi karanîna fonksiyona base64 hatî kodkirin û piştî deşîfrekirinê hatî destpêkirin. Skrîptê di pergalê de bişkojkên SSH û GPG, û her weha hin celeb pelên ji pelrêça malê û pêbaweriyên projeyên PyCharm dît, û dûv re ew şandin serverek derveyî ku li ser binesaziya cloudê ya DigitalOcean dixebite.
Source: opennet.ru