У директоријуму Питхон пакета ПиПИ (Питхон Пацкаге Индек) злонамерни пакети ""И"", које је поставио један аутор олгиред2017 и прерушене у популарне пакете ""И"“ (разликује се употребом симбола „И“ (и) уместо „л“ (Л) у називу). Након инсталирања наведених пакета, кључеви за шифровање и поверљиви кориснички подаци пронађени у систему су послати на сервер нападача. Проблематични пакети су сада уклоњени из ПиПИ директоријума.
Сам злонамерни код је био присутан у пакету "јеИлифисх", а пакет "питхон3-датеутил" га је користио као зависност.
Имена су изабрана на основу непажљивих корисника који су правили грешке у куцању приликом претраге (). Злонамерни пакет „јеИлифисх” је преузет пре око годину дана, 11. децембра 2018, и остао је неоткривен. Пакет „питхон3-датеутил“ је постављен 29. новембра 2019. и неколико дана касније изазвао је сумњу код једног од програмера. Информације о броју инсталација злонамерних пакета нису дате.
Пакет медуза је укључивао код који је преузео листу „хешева“ из спољног спремишта заснованог на ГитЛаб-у. Анализа логике рада са овим „хешевима“ показала је да они садрже скрипту кодирану помоћу функције басе64 и покренуту након декодирања. Скрипта је пронашла ССХ и ГПГ кључеве у систему, као и неке типове датотека из кућног директоријума и акредитиве за ПиЦхарм пројекте, а затим их послала на спољни сервер који ради на инфраструктури облака ДигиталОцеан.
Извор: опеннет.ру
