Në direktorinë e paketave Python PyPI (Indeksi i Paketës Python) paketa me qëllim të keq ""Dhe"", të cilat u ngarkuan nga një autor olgired2017 dhe u maskuan si pako të njohura""Dhe"" (dallohet nga përdorimi i simbolit "I" (i) në vend të "l" (L) në emër). Pas instalimit të paketave të specifikuara, çelësat e enkriptimit dhe të dhënat konfidenciale të përdoruesit të gjetura në sistem u dërguan në serverin e sulmuesit. Paketat problematike tani janë hequr nga direktoria PyPI.
Vetë kodi me qëllim të keq ishte i pranishëm në paketën "jeIlyfish" dhe paketa "python3-dateutil" e përdori atë si një varësi.
Emrat u zgjodhën në bazë të përdoruesve të pavëmendshëm që bënë gabime shtypi gjatë kërkimit (). Paketa keqdashëse “jeIlyfish” u shkarkua rreth një vit më parë, më 11 dhjetor 2018 dhe mbeti e pazbuluar. Paketa "python3-dateutil" u ngarkua më 29 nëntor 2019 dhe disa ditë më vonë ngjalli dyshime te një prej zhvilluesve. Informacioni mbi numrin e instalimeve të paketave me qëllim të keq nuk jepet.
Paketa e kandil deti përfshinte kodin që shkarkonte një listë të "hasheve" nga një depo e jashtme e bazuar në GitLab. Analiza e logjikës për të punuar me këto "hashe" tregoi se ato përmbajnë një skript të koduar duke përdorur funksionin base64 dhe të nisur pas dekodimit. Skripti gjeti çelësat SSH dhe GPG në sistem, si dhe disa lloje skedarësh nga drejtoria kryesore dhe kredencialet për projektet PyCharm, dhe më pas i dërgoi ato në një server të jashtëm që funksionon në infrastrukturën cloud DigitalOcean.
Burimi: opennet.ru