W katalogu PyPI (Python Package Index) zidentyfikowano kilka pakietów zawierających kod umożliwiający wydobywanie ukrytych kryptowalut. Problemy występowały w pakietach maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib i learninglib, których nazwy wybrano tak, aby były podobne pod względem pisowni do popularnych bibliotek (matplotlib) przy założeniu, że użytkownik popełni błąd podczas pisania i nie zauważam różnic (typesquatting). Pakiety zostały wysłane w kwietniu pod kontem nedog123 i zostały pobrane łącznie około 5 tysięcy razy w ciągu dwóch miesięcy.
Szkodliwy kod został umieszczony w bibliotece maratlib, która została wykorzystana w innych pakietach w formie zależności. Szkodliwy kod został ukryty przy użyciu zastrzeżonego mechanizmu zaciemniania, niewykryty przez standardowe narzędzia, i został wykonany poprzez wykonanie skryptu kompilacji setup.py wykonywanego podczas instalacji pakietu. Z setup.py został on pobrany z GitHub i uruchomiony został skrypt bash aza.sh, który z kolei pobrał i uruchomił aplikacje do wydobywania kryptowalut Ubqminer lub T-Rex.
Źródło: opennet.ru