W katalogu pakietu Pythona PyPI (indeks pakietu Pythona)
Sam złośliwy kod znajdował się w pakiecie „jeIlyfish”, a pakiet „python3-dateutil” wykorzystywał go jako zależność.
Nazwy zostały wybrane na podstawie nieuważnych użytkowników, którzy popełnili literówki podczas wyszukiwania (
Pakiet meduzy zawierał kod, który pobierał listę „hashów” z zewnętrznego repozytorium opartego na GitLabie. Analiza logiki pracy z tymi „hashami” wykazała, że zawierają one skrypt zakodowany przy użyciu funkcji base64 i uruchamiany po zdekodowaniu. Skrypt znajdował w systemie klucze SSH i GPG, a także niektóre typy plików z katalogu domowego i referencje do projektów PyCharm, a następnie wysyłał je na zewnętrzny serwer działający w infrastrukturze chmurowej DigitalOcean.
Źródło: opennet.ru