PyPI (Python Package Index) katalogā ir identificētas vairākas pakotnes, kas ietver slēptās kriptovalūtas ieguves kodu. Problēmas radās pakotnēs maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib un learninglib, kuru nosaukumi tika izvēlēti tā, lai pareizrakstībā būtu līdzīgi populārajām bibliotēkām (matplotlib) ar cerību, ka lietotājs kļūdīsies rakstot un nepamana atšķirības (typesquatting). Pakas tika ievietotas aprīlī ar kontu nedog123 un kopumā divu mēnešu laikā tika lejupielādētas aptuveni 5 tūkstošus reižu.
Ļaunprātīgais kods tika ievietots maratlib bibliotēkā, kas tika izmantots citās pakotnēs atkarības veidā. Ļaunprātīgais kods tika paslēpts, izmantojot patentētu apmulsināšanas mehānismu, ko standarta utilītas neatklāja, un tas tika izpildīts, izpildot pakotnes instalēšanas laikā izpildīto setup.py veidošanas skriptu. Vietnē setup.py tas tika lejupielādēts no GitHub un tika palaists bash skripts aza.sh, kas savukārt lejupielādēja un palaida Ubqminer vai T-Rex kriptovalūtas ieguves lietojumprogrammas.
Avots: opennet.ru