V adresári balíkov Python PyPI (Python Package Index)
Samotný škodlivý kód bol prítomný v balíku „jeIlyfish“ a balík „python3-dateutil“ ho používal ako závislosť.
Názvy boli vybrané na základe nepozorných používateľov, ktorí pri vyhľadávaní urobili preklepy (
Balíček medúzy obsahoval kód, ktorý stiahol zoznam „hashov“ z externého úložiska GitLab. Analýza logiky práce s týmito „hashmi“ ukázala, že obsahujú skript zakódovaný pomocou funkcie base64 a spustený po dekódovaní. Skript našiel v systéme kľúče SSH a GPG, ako aj niektoré typy súborov z domovského adresára a poverenia pre projekty PyCharm a následne ich odoslal na externý server bežiaci na cloudovej infraštruktúre DigitalOcean.
Zdroj: opennet.ru