In de Python-pakketmap PyPI (Python Package Index)
De kwaadaardige code zelf was aanwezig in het "jeIlyfish" -pakket en het "python3-dateutil" -pakket gebruikte het als een afhankelijkheid.
De namen zijn gekozen op basis van onoplettende gebruikers die typefouten hebben gemaakt tijdens het zoeken (
Het kwallenpakket bevatte code die een lijst met “hashes” downloadde van een externe, op GitLab gebaseerde repository. Analyse van de logica voor het werken met deze “hashes” toonde aan dat ze een script bevatten dat is gecodeerd met behulp van de base64-functie en is gestart na decodering. Het script vond SSH- en GPG-sleutels in het systeem, evenals enkele soorten bestanden uit de thuismap en inloggegevens voor PyCharm-projecten, en stuurde deze vervolgens naar een externe server die op de DigitalOcean-cloudinfrastructuur draaide.
Bron: opennet.ru