No catálogo PyPI (Python Package Index), foram identificados vários pacotes que incluem código para mineração oculta de criptomoedas. Problemas estavam presentes nos pacotes maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib e learninglib, cujos nomes foram escolhidos para serem semelhantes em ortografia a bibliotecas populares (matplotlib) com a expectativa de que o usuário cometesse um erro ao escrever e não notar as diferenças (typesquatting). Os pacotes foram postados em abril na conta nedog123 e baixados cerca de 5 mil vezes no total em dois meses.
O código malicioso foi colocado na biblioteca maratlib, que foi usada em outros pacotes na forma de dependência. O código malicioso foi ocultado usando um mecanismo de ofuscação proprietário, não detectado pelos utilitários padrão, e foi executado executando o script de construção setup.py executado durante a instalação do pacote. Do setup.py, ele foi baixado do GitHub e o script bash aza.sh foi lançado, que por sua vez baixou e lançou os aplicativos de mineração de criptomoedas Ubqminer ou T-Rex.
Fonte: opennet.ru