Kwenye saraka ya kifurushi cha Python PyPI (Python Package Index) vifurushi vibaya""Na"", ambazo zilipakiwa na mwandishi mmoja olgired2017 na kufichwa kama vifurushi maarufu ""Na"" (inayotofautishwa na matumizi ya ishara "I" (i) badala ya "l" (L) katika jina). Baada ya kusakinisha vifurushi vilivyobainishwa, funguo za usimbaji fiche na data ya siri ya mtumiaji iliyopatikana kwenye mfumo ilitumwa kwa seva ya mshambulizi. Vifurushi vyenye matatizo sasa vimeondolewa kwenye saraka ya PyPI.
Nambari hasidi yenyewe ilikuwepo kwenye kifurushi cha "jeIlyfish", na kifurushi cha "python3-dateutil" kiliitumia kama tegemezi.
Majina yalichaguliwa kulingana na watumiaji wasio makini ambao waliandika makosa wakati wa kutafuta () Kifurushi hasidi cha "jeIlyfish" kilipakuliwa takriban mwaka mmoja uliopita, tarehe 11 Desemba 2018, na kilibaki bila kutambuliwa. Kifurushi cha "python3-dateutil" kilipakiwa mnamo Novemba 29, 2019 na siku chache baadaye kilizua shaka kati ya mmoja wa wasanidi programu. Habari juu ya idadi ya usakinishaji wa vifurushi hasidi haijatolewa.
Kifurushi cha jellyfish kilijumuisha msimbo uliopakua orodha ya "heshi" kutoka hazina ya nje ya GitLab. Uchambuzi wa mantiki ya kufanya kazi na "heshi" hizi ulionyesha kuwa zina hati iliyosimbwa kwa kutumia chaguo za kukokotoa za base64 na kuzinduliwa baada ya kusimbua. Hati ilipata funguo za SSH na GPG kwenye mfumo, na pia aina fulani za faili kutoka kwa saraka ya nyumbani na vitambulisho vya miradi ya PyCharm, na kisha kuzituma kwa seva ya nje inayoendesha kwenye miundombinu ya wingu ya DigitalOcean.
Chanzo: opennet.ru