Python пакет каталогунда PyPI (Python пакетинин индекси) зыяндуу пакеттер""Ал эми"", бир автор olgired2017 тарабынан жүктөлгөн жана популярдуу топтомдор катары жашырылган ""Ал эми"" (атында "l" (L) ордуна "I" (i) белгисинин колдонулушу менен айырмаланат). Көрсөтүлгөн пакеттерди орноткондон кийин, шифрлөө ачкычтары жана системада табылган колдонуучунун купуя маалыматтары чабуулчунун серверине жөнөтүлгөн. Көйгөйлүү топтомдор азыр PyPI каталогунан алынып салынды.
Зыяндуу коддун өзү "jeIlyfish" пакетинде болгон жана "python3-dateutil" пакети аны көз карандылык катары колдонгон.
Аттар издөө учурунда ката кетирген көңүл бурбаган колдонуучулардын негизинде тандалган (). “jeIlyfish” зыяндуу пакети болжол менен бир жыл мурун, 11-жылдын 2018-декабрында жүктөлүп алынган жана байкалбай калган. "python3-dateutil" пакети 29-жылдын 2019-ноябрында жүктөлүп, бир нече күндөн кийин иштеп чыгуучулардын биринде шектенүүлөрдү жараткан. Зыяндуу пакеттердин орнотууларынын саны жөнүндө маалымат берилген эмес.
Медуза пакетине GitLab негизиндеги тышкы репозиторийден "хэштердин" тизмесин түшүргөн код камтылган. Бул “хэштер” менен иштөө логикасын талдоо аларда base64 функциясы аркылуу коддолгон жана декоддоодон кийин ишке киргизилген скрипт бар экенин көрсөттү. Скрипт системада SSH жана GPG ачкычтарын, ошондой эле PyCharm долбоорлору үчүн үй каталогунан файлдардын айрым түрлөрүн таап, андан кийин DigitalOcean булут инфраструктурасында иштеген тышкы серверге жөнөттү.
Source: opennet.ru