V katalógu PyPI (Python Package Index) bolo identifikovaných niekoľko balíčkov, ktoré obsahujú kód na skrytú ťažbu kryptomien. Problémy sa vyskytli v balíkoch maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib a learninglib, ktorých názvy boli pravopisne podobné populárnym knižniciam (matplotlib) s očakávaním, že používateľ urobí chybu pri písaní a nevšimnúť si rozdiely (typesquatting). Balíky boli zverejnené v apríli pod účtom nedog123 a boli stiahnuté celkovo asi 5 tisíc krát za dva mesiace.
Škodlivý kód bol umiestnený do knižnice maratlib, ktorá bola použitá v iných balíkoch vo forme závislosti. Škodlivý kód bol skrytý pomocou proprietárneho mechanizmu zahmlievania, ktorý štandardné pomocné programy nezistili, a bol spustený spustením zostavovacieho skriptu setup.py spusteného počas inštalácie balíka. Z setup.py bol stiahnutý z GitHubu a bol spustený bash skript aza.sh, ktorý následne stiahol a spustil aplikácie na ťažbu kryptomien Ubqminer alebo T-Rex.
Zdroj: opennet.ru