V katalogu PyPI (Python Package Index) je bilo identificiranih več paketov, ki vključujejo kodo za skrito rudarjenje kriptovalut. Težave so bile prisotne v paketih maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib in learninglib, katerih imena so bila izbrana tako, da so po črkovanju podobna popularnim knjižnicam (matplotlib) s pričakovanjem, da bi se uporabnik zmotil pri pisanju in ne opazijo razlik (tipski skvot). Paketi so bili objavljeni aprila pod računom nedog123 in so bili v dveh mesecih skupaj preneseni približno 5 tisočkrat.
Zlonamerna koda je bila postavljena v knjižnico maratlib, ki je bila uporabljena v drugih paketih v obliki odvisnosti. Zlonamerna koda je bila skrita z uporabo lastniškega mehanizma zamegljevanja, ki ga standardni pripomočki niso zaznali, in je bila izvedena z izvedbo skripta za gradnjo setup.py, ki se je izvedel med namestitvijo paketa. Iz setup.py je bil prenesen iz GitHub in zagnan je bil bash skript aza.sh, ki je nato prenesel in zagnal aplikaciji za rudarjenje kriptovalut Ubqminer ali T-Rex.
Vir: opennet.ru