Në direktorinë e paketave Python PyPI (Indeksi i Paketës Python)
Vetë kodi me qëllim të keq ishte i pranishëm në paketën "jeIlyfish" dhe paketa "python3-dateutil" e përdori atë si një varësi.
Emrat u zgjodhën në bazë të përdoruesve të pavëmendshëm që bënë gabime shtypi gjatë kërkimit (
Paketa e kandil deti përfshinte kodin që shkarkonte një listë të "hasheve" nga një depo e jashtme e bazuar në GitLab. Analiza e logjikës për të punuar me këto "hashe" tregoi se ato përmbajnë një skript të koduar duke përdorur funksionin base64 dhe të nisur pas dekodimit. Skripti gjeti çelësat SSH dhe GPG në sistem, si dhe disa lloje skedarësh nga drejtoria kryesore dhe kredencialet për projektet PyCharm, dhe më pas i dërgoi ato në një server të jashtëm që funksionon në infrastrukturën cloud DigitalOcean.
Burimi: opennet.ru