W katalogu pakietu Pythona PyPI (indeks pakietu Pythona) złośliwe pakiety”"A"", które zostały przesłane przez jednego autora olgired2017 i udawały popularne pakiety ""A"" (wyróżnia się użyciem w nazwie symbolu „I” (i) zamiast „l” (L). Po zainstalowaniu określonych pakietów klucze szyfrujące i poufne dane użytkownika znalezione w systemie zostały przesłane na serwer atakującego. Problematyczne pakiety zostały teraz usunięte z katalogu PyPI.
Sam złośliwy kod znajdował się w pakiecie „jeIlyfish”, a pakiet „python3-dateutil” wykorzystywał go jako zależność.
Nazwy zostały wybrane na podstawie nieuważnych użytkowników, którzy popełnili literówki podczas wyszukiwania (). Szkodliwy pakiet „jeIlyfish” został pobrany około rok temu, 11 grudnia 2018 r. i pozostał niewykryty. Pakiet „python3-dateutil” został przesłany 29 listopada 2019 roku i kilka dni później wzbudził podejrzenia jednego z programistów. Nie podano informacji o liczbie instalacji szkodliwych pakietów.
Pakiet meduzy zawierał kod, który pobierał listę „hashów” z zewnętrznego repozytorium opartego na GitLabie. Analiza logiki pracy z tymi „hashami” wykazała, że zawierają one skrypt zakodowany przy użyciu funkcji base64 i uruchamiany po zdekodowaniu. Skrypt znajdował w systemie klucze SSH i GPG, a także niektóre typy plików z katalogu domowego i referencje do projektów PyCharm, a następnie wysyłał je na zewnętrzny serwer działający w infrastrukturze chmurowej DigitalOcean.
Źródło: opennet.ru