Sa catalog ng PyPI (Python Package Index), ilang mga pakete ang natukoy na may kasamang code para sa nakatagong pagmimina ng cryptocurrency. Ang mga problema ay naroroon sa mga pakete na maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib at learninglib, na ang mga pangalan ay pinili na magkapareho sa pagbabaybay sa mga sikat na aklatan (matplotlib) na may pag-asang magkakamali ang gumagamit sa pagsulat at hindi napapansin ang mga pagkakaiba (typesquatting). Ang mga pakete ay nai-post noong Abril sa ilalim ng account na nedog123 at na-download ng humigit-kumulang 5 libong beses sa kabuuan sa loob ng dalawang buwan.
Ang malisyosong code ay inilagay sa maratlib library, na ginamit sa iba pang mga pakete sa anyo ng isang dependency. Itinago ang nakakahamak na code gamit ang isang proprietary obfuscation na mekanismo, hindi natukoy ng mga karaniwang utility, at naisakatuparan sa pamamagitan ng pag-execute ng setup.py build script na isinagawa sa panahon ng pag-install ng package. Mula sa setup.py, na-download ito mula sa GitHub at inilunsad ang bash script na aza.sh, na nag-download naman at naglunsad ng Ubqminer o T-Rex cryptocurrency mining applications.
Pinagmulan: opennet.ru