Am Python Package Verzeechnes PyPI (Python Package Index) béiswëlleg Packagen ""An"", déi vun engem Auteur eropgeluede goufen olgired2017 an als populär Packagen verkleed sinn""An"" (ënnerscheet duerch d'Benotzung vum Symbol "I" (i) amplaz "l" (L) am Numm). No der Installatioun vun de spezifizéierte Packagen, Verschlësselungsschlësselen a vertraulech Benotzerdaten, déi am System fonnt goufen, goufen op de Server vum Ugräifer geschéckt. Déi problematesch Packagen sinn elo aus dem PyPI Verzeichnis geläscht ginn.
De béisaarteg Code selwer war am "jeIlyfish" Package präsent, an de Package "python3-dateutil" huet et als Ofhängegkeet benotzt.
D'Nimm goufen ausgewielt op Basis vun onopmerksamen Benotzer déi Tippfehler gemaach hunn beim Sichen (). De béiswëlleg Package "jeIlyfish" gouf viru ronn engem Joer erofgelueden, den 11. Dezember 2018, a blouf onentdeckt. De Package "python3-dateutil" gouf den 29. November 2019 eropgelueden an e puer Deeg méi spéit huet de Verdacht bei engem vun den Entwéckler erwächt. Informatioun iwwer d'Zuel vun den Installatiounen vu béiswëlleg Packagen gëtt net geliwwert.
De Jellyfish Package enthält Code deen eng Lëscht vun "Hashes" vun engem externen GitLab-baséierte Repository erofgelueden huet. Analyse vun der Logik fir mat dësen "Hashes" ze schaffen huet gewisen datt se e Skript enthalen, dee mat der Base64 Funktioun kodéiert ass an no der Decodéierung lancéiert gouf. De Skript huet SSH- a GPG-Schlësselen am System fonnt, wéi och e puer Aarte vu Dateien aus dem Heemverzeichnis an Umeldungsinformatiounen fir PyCharm Projeten, an hunn se dann op en externen Server geschéckt, deen op der DigitalOcean Cloud Infrastruktur leeft.
Source: opennet.ru