Tre biblioteka që përmbajnë kod me qëllim të keq u identifikuan në direktorinë PyPI (Python Package Index). Përpara se problemet të identifikoheshin dhe hiqeshin nga katalogu, paketat ishin shkarkuar pothuajse 15 mijë herë.
Paketat dpp-client (10194 shkarkime) dhe dpp-client1234 (1536 shkarkime) ishin shpërndarë që nga shkurti dhe përfshinin kodin për dërgimin e përmbajtjes së variablave të mjedisit, të cilat, për shembull, mund të përfshijnë çelësat e aksesit, shenjat ose fjalëkalimet në sistemet e integrimit të vazhdueshëm ose mjedise cloud si AWS. Paketat dërguan gjithashtu një listë që përmban përmbajtjen e drejtorive "/home", "/mnt/mesos/" dhe "mnt/mesos/sandbox" te hosti i jashtëm.
Paketa aws-login0tool (3042 shkarkime) u postua në depon e PyPI më 1 dhjetor dhe përfshinte kodin për të shkarkuar dhe ekzekutuar një aplikacion trojan për të marrë kontrollin e hosteve që funksionojnë Windows. Kur zgjidhni emrin e paketës, llogaritja u bë për faktin se çelësat "0" dhe "-" janë afër dhe ekziston mundësia që zhvilluesi të shkruajë "aws-login0tool" në vend të "aws-login-tool".
Paketat problematike u identifikuan gjatë një eksperimenti të thjeshtë, në të cilin një pjesë e paketave PyPI (rreth 200 mijë nga 330 mijë paketat në depo) u shkarkuan duke përdorur mjetin Bandersnatch, pas së cilës programi grep identifikoi dhe analizoi paketat që ishin përmendur në skedarin setup.py Thirrja "import urllib.request", përdoret zakonisht për të dërguar kërkesa te hostet e jashtëm.
Burimi: opennet.ru