Sa direktoryo ng pakete ng Python na PyPI (Python Package Index)
Ang malisyosong code mismo ay naroroon sa package na "jeIlyfish", at ginamit ito ng package na "python3-dateutil" bilang dependency.
Ang mga pangalan ay pinili batay sa mga hindi nag-iingat na mga gumagamit na gumawa ng mga typo kapag naghahanap (
Ang jellyfish package ay may kasamang code na nag-download ng isang listahan ng "hashes" mula sa isang panlabas na GitLab-based na repository. Ang pagsusuri sa lohika para sa pagtatrabaho sa mga "hash" na ito ay nagpakita na naglalaman ang mga ito ng script na naka-encode gamit ang base64 function at inilunsad pagkatapos ng pag-decode. Nakita ng script ang mga SSH at GPG key sa system, pati na rin ang ilang uri ng mga file mula sa home directory at mga kredensyal para sa mga proyekto ng PyCharm, at pagkatapos ay ipinadala ang mga ito sa isang external na server na tumatakbo sa DigitalOcean cloud infrastructure.
Pinagmulan: opennet.ru