Python paketo kataloge PyPI (Python Package Index)
Pats kenkėjiškas kodas buvo „jeIlyfish“ pakete, o paketas „python3-dateutil“ naudojo jį kaip priklausomybę.
Vardai buvo parinkti atsižvelgiant į nedėmesingus vartotojus, kurie ieškodami padarė rašybos klaidų (
Medūzų pakete buvo kodas, kuris atsisiuntė „maišos“ sąrašą iš išorinės „GitLab“ saugyklos. Darbo su šiomis „maišos“ logikos analizė parodė, kad juose yra scenarijus, užkoduotas naudojant funkciją base64 ir paleistas po dekodavimo. Scenarijus sistemoje aptiko SSH ir GPG raktus, taip pat kai kurių tipų failus iš namų katalogo ir „PyCharm“ projektų kredencialus, o tada nusiuntė juos į išorinį serverį, veikiantį „DigitalOcean“ debesų infrastruktūroje.
Šaltinis: opennet.ru