Sa direktoryo ng pakete ng Python na PyPI (Python Package Index) malisyosong pakete""At"", na na-upload ng isang may-akda olgired2017 at itinago bilang mga sikat na pakete ""At"" (nakikilala sa pamamagitan ng paggamit ng simbolong "I" (i) sa halip na "l" (L) sa pangalan). Pagkatapos i-install ang mga tinukoy na pakete, ang mga encryption key at kumpidensyal na data ng user na natagpuan sa system ay ipinadala sa server ng umaatake. Ang mga may problemang pakete ay inalis na ngayon sa direktoryo ng PyPI.
Ang malisyosong code mismo ay naroroon sa package na "jeIlyfish", at ginamit ito ng package na "python3-dateutil" bilang dependency.
Ang mga pangalan ay pinili batay sa mga hindi nag-iingat na mga gumagamit na gumawa ng mga typo kapag naghahanap (). Ang nakakahamak na package na "jeIlyfish" ay na-download halos isang taon na ang nakalipas, noong Disyembre 11, 2018, at nanatiling hindi natukoy. Ang package na "python3-dateutil" ay na-upload noong Nobyembre 29, 2019 at makalipas ang ilang araw ay nagdulot ng hinala sa isa sa mga developer. Ang impormasyon sa bilang ng mga pag-install ng mga nakakahamak na pakete ay hindi ibinigay.
Ang jellyfish package ay may kasamang code na nag-download ng isang listahan ng "hashes" mula sa isang panlabas na GitLab-based na repository. Ang pagsusuri sa lohika para sa pagtatrabaho sa mga "hash" na ito ay nagpakita na naglalaman ang mga ito ng script na naka-encode gamit ang base64 function at inilunsad pagkatapos ng pag-decode. Nakita ng script ang mga SSH at GPG key sa system, pati na rin ang ilang uri ng mga file mula sa home directory at mga kredensyal para sa mga proyekto ng PyCharm, at pagkatapos ay ipinadala ang mga ito sa isang external na server na tumatakbo sa DigitalOcean cloud infrastructure.
Pinagmulan: opennet.ru