I Python-paketkatalogen PyPI (Python Package Index) skadliga paket""Och"", som laddades upp av en författare olgired2017 och förklädda som populära paket""Och"" (kännetecknas av användningen av symbolen "I" (i) istället för "l" (L) i namnet). Efter installation av de angivna paketen skickades krypteringsnycklar och konfidentiell användardata som hittades i systemet till angriparens server. De problematiska paketen har nu tagits bort från PyPI-katalogen.
Själva den skadliga koden fanns i paketet "jeIlyfish", och paketet "python3-dateutil" använde det som ett beroende.
Namnen valdes baserat på ouppmärksamma användare som gjorde stavfel när de sökte (). Det skadliga paketet "jeIlyfish" laddades ner för ungefär ett år sedan, den 11 december 2018, och förblev oupptäckt. Paketet "python3-dateutil" laddades upp den 29 november 2019 och väckte några dagar senare misstankar hos en av utvecklarna. Information om antalet installationer av skadliga paket tillhandahålls inte.
Manetpaketet inkluderade kod som laddade ner en lista med "hashar" från ett externt GitLab-baserat arkiv. Analys av logiken för att arbeta med dessa "hashar" visade att de innehåller ett skript som kodats med base64-funktionen och lanserats efter avkodning. Skriptet hittade SSH- och GPG-nycklar i systemet, såväl som vissa typer av filer från hemkatalogen och autentiseringsuppgifter för PyCharm-projekt, och skickade dem sedan till en extern server som kördes på DigitalOceans molninfrastruktur.
Källa: opennet.ru