In de Python-pakketmap PyPI (Python Package Index) kwaadaardige pakketten ""En"", die zijn geüpload door één auteur olgired2017 en vermomd als populaire pakketten ""En""(onderscheiden door het gebruik van het symbool "I" (i) in plaats van "l" (L) in de naam). Na installatie van de gespecificeerde pakketten werden encryptiesleutels en vertrouwelijke gebruikersgegevens in het systeem naar de server van de aanvaller gestuurd. De problematische pakketten zijn nu verwijderd uit de PyPI-directory.
De kwaadaardige code zelf was aanwezig in het "jeIlyfish" -pakket en het "python3-dateutil" -pakket gebruikte het als een afhankelijkheid.
De namen zijn gekozen op basis van onoplettende gebruikers die typefouten hebben gemaakt tijdens het zoeken (). Het kwaadaardige pakket “jeIlyfish” werd ongeveer een jaar geleden, op 11 december 2018, gedownload en bleef onopgemerkt. Het pakket "python3-dateutil" werd op 29 november 2019 geüpload en wekte een paar dagen later argwaan bij een van de ontwikkelaars. Er wordt geen informatie verstrekt over het aantal installaties van kwaadaardige pakketten.
Het kwallenpakket bevatte code die een lijst met “hashes” downloadde van een externe, op GitLab gebaseerde repository. Analyse van de logica voor het werken met deze “hashes” toonde aan dat ze een script bevatten dat is gecodeerd met behulp van de base64-functie en is gestart na decodering. Het script vond SSH- en GPG-sleutels in het systeem, evenals enkele soorten bestanden uit de thuismap en inloggegevens voor PyCharm-projecten, en stuurde deze vervolgens naar een externe server die op de DigitalOcean-cloudinfrastructuur draaide.
Bron: opennet.ru