Дар директорияи бастаи Python PyPI (Index Package Python) бастаҳои зараровар""Ва"", ки аз ҷониби як муаллиф olgired2017 бор карда шудааст ва ҳамчун бастаҳои маъмул пинҳон карда шудааст ""Ва"" (бо истифодаи аломати "I" (i) ба ҷои "l" (L) дар ном фарқ мекунад). Пас аз насб кардани бастаҳои мушаххас, калидҳои рамзгузорӣ ва маълумоти махфии корбаре, ки дар система пайдо шудаанд, ба сервери ҳамлакунанда фиристода шуданд. Бастаҳои мушкилот ҳоло аз директорияи PyPI хориҷ карда шудаанд.
Худи рамзи зараровар дар бастаи "jeIlyfish" мавҷуд буд ва бастаи "python3-dateutil" онро ҳамчун вобастагӣ истифода мекард.
Номҳо дар асоси корбарони беэҳтиёт, ки ҳангоми ҷустуҷӯ хатогиҳо кардаанд, интихоб карда шуданд (). Бастаи зараровар "jeIlyfish" тақрибан як сол пеш, 11 декабри соли 2018 бор карда шуда буд ва номаълум боқӣ монд. Бастаи "python3-dateutil" 29 ноябри соли 2019 бор карда шуд ва пас аз чанд рӯз дар байни яке аз таҳиягарон шубҳаро ба вуҷуд овард. Маълумот дар бораи шумораи насбҳои бастаҳои зараровар пешниҳод карда нашудааст.
Маҷмӯаи медуза рамзеро дар бар мегирад, ки рӯйхати "хэшҳо" -ро аз анбори берунии GitLab асосёфта зеркашӣ мекунад. Таҳлили мантиқи кор бо ин "хэшҳо" нишон дод, ки онҳо дорои скрипт бо истифода аз функсияи base64 рамзгузоришуда ва пас аз рамзкушоӣ ба кор андохта шудаанд. Скрипт калидҳои SSH ва GPG дар система, инчунин баъзе намудҳои файлҳоро аз феҳристи хонагӣ ва маълумоти эътимоднома барои лоиҳаҳои PyCharm ёфт ва сипас онҳоро ба сервери беруна, ки дар инфрасохтори абрии DigitalOcean кор мекунад, фиристод.
Манбаъ: opennet.ru