Python pakotņu direktorijā PyPI (Python Package Index) ļaunprātīgas paketes""Un"", ko augšupielādēja viens autors olgired2017 un slēpa kā populāras pakotnes""Un"" (atšķiras ar simbola "I" (i) izmantošanu nosaukumā "l" (L) vietā). Pēc norādīto pakotņu instalēšanas uz uzbrucēja serveri tika nosūtītas sistēmā atrastās šifrēšanas atslēgas un konfidenciālie lietotāja dati. Tagad problemātiskās pakotnes ir noņemtas no PyPI direktorija.
Pats ļaunprātīgais kods atradās pakotnē "jeIlyfish", un pakotne "python3-dateutil" to izmantoja kā atkarību.
Nosaukumi tika izvēlēti, pamatojoties uz neuzmanīgiem lietotājiem, kuri pieļāva drukas kļūdas, veicot meklēšanu (). Ļaunprātīgā pakotne “jeIlyfish” tika lejupielādēta aptuveni pirms gada, 11. gada 2018. decembrī, un palika neatklāta. Pakotne "python3-dateutil" tika augšupielādēta 29. gada 2019. novembrī un dažas dienas vēlāk izraisīja aizdomas vienā no izstrādātājiem. Informācija par ļaunprātīgu pakotņu instalāciju skaitu netiek sniegta.
Medūzu pakotnē tika iekļauts kods, kas lejupielādēja “jaucēju” sarakstu no ārējās GitLab bāzes krātuves. Loģikas analīze darbam ar šīm “jaukām” parādīja, ka tie satur skriptu, kas kodēts, izmantojot funkciju base64, un palaists pēc dekodēšanas. Skripts sistēmā atrada SSH un GPG atslēgas, kā arī dažus failu veidus no mājas direktorijas un PyCharm projektu akreditācijas datus, un pēc tam nosūtīja tos uz ārēju serveri, kas darbojas DigitalOcean mākoņa infrastruktūrā.
Avots: opennet.ru