PyPI (Python Package Index) kataloge buvo identifikuoti keli paketai, kuriuose yra paslėpto kriptovaliutų kasimo kodas. Problemų kilo paketuose maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib ir learninglib, kurių pavadinimai buvo parinkti taip, kad rašyba būtų panašūs į populiarių bibliotekų (matplotlib), tikintis, kad vartotojas padarys klaidą rašydamas ir nepastebi skirtumų (typesquatting). Paketai buvo patalpinti balandžio mėnesį nedog123 paskyroje ir per du mėnesius iš viso buvo atsisiųsta apie 5 tūkst.
Kenkėjiškas kodas buvo patalpintas į maratlib biblioteką, kuri buvo naudojama kituose paketuose kaip priklausomybė. Kenkėjiškas kodas buvo paslėptas naudojant patentuotą užmaskavimo mechanizmą, kurio neaptiko standartinės paslaugos, ir buvo vykdomas vykdant setup.py kūrimo scenarijų, vykdomą diegiant paketą. Iš setup.py jis buvo atsisiųstas iš GitHub ir paleistas bash scenarijus aza.sh, kuris savo ruožtu atsisiuntė ir paleido Ubqminer arba T-Rex kriptovaliutų kasybos programas.
Šaltinis: opennet.ru