I PyPI (Python Package Index)-katalogen er det identifisert flere pakker som inkluderer kode for skjult gruvedrift av kryptovaluta. Det var problemer i pakkene maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib og learninglib, hvis navn ble valgt til å være like i stavemåte som populære biblioteker (matplotlib) med forventning om at brukeren ville gjøre en feil når han skrev og ikke merke forskjellene (typesquatting). Pakkene ble lagt ut i april under kontoen nedog123 og ble lastet ned omtrent 5 tusen ganger totalt over to måneder.
Den ondsinnede koden ble plassert i maratlib-biblioteket, som ble brukt i andre pakker i form av en avhengighet. Den ondsinnede koden ble skjult ved hjelp av en proprietær obfuskeringsmekanisme, ikke oppdaget av standardverktøy, og ble utført ved å kjøre setup.py build-skriptet som ble utført under pakkeinstallasjonen. Fra setup.py ble det lastet ned fra GitHub og bash-skriptet aza.sh ble lansert, som igjen lastet ned og lanserte Ubqminer eller T-Rex cryptocurrency mining-applikasjoner.
Kilde: opennet.ru