În directorul pachetului Python PyPI (Indexul pachetului Python) pachete rău intenționate""Și"", care au fost încărcate de un autor olgired2017 și deghizate în pachete populare ""Și"" (distins prin utilizarea simbolului "I" (i) în loc de "l" (L) în nume). După instalarea pachetelor specificate, cheile de criptare și datele confidențiale ale utilizatorului găsite în sistem au fost trimise la serverul atacatorului. Pachetele problematice au fost acum eliminate din directorul PyPI.
Codul rău intenționat în sine a fost prezent în pachetul „jeIlyfish”, iar pachetul „python3-dateutil” l-a folosit ca dependență.
Numele au fost alese pe baza utilizatorilor neatenți care au făcut greșeli de scriere la căutare (). Pachetul rău intenționat „JeIlyfish” a fost descărcat cu aproximativ un an în urmă, pe 11 decembrie 2018, și a rămas nedetectat. Pachetul „python3-dateutil” a fost încărcat pe 29 noiembrie 2019 și câteva zile mai târziu a stârnit suspiciuni în rândul unuia dintre dezvoltatori. Nu sunt furnizate informații despre numărul de instalări ale pachetelor rău intenționate.
Pachetul meduză includea cod care a descărcat o listă de „hash”-uri dintr-un depozit extern bazat pe GitLab. Analiza logicii de lucru cu aceste „hash-uri” a arătat că acestea conțin un script codificat folosind funcția base64 și lansat după decodare. Scriptul a găsit chei SSH și GPG în sistem, precum și unele tipuri de fișiere din directorul principal și acreditări pentru proiectele PyCharm, apoi le-a trimis la un server extern care rulează pe infrastructura cloud DigitalOcean.
Sursa: opennet.ru
