У каталозі Python-пакетів PyPI (Python Package Index)
Безпосередньо шкідливий код був присутній у пакеті "jeIlyfish", а пакет "python3-dateutil" використовував його як залежність.
Назви були обрані з розрахунку на неуважних користувачів, які допускають помилки під час пошуку (
Пакет jellyfish включав код, що завантажує список «хешів» із зовнішнього репозиторію на базі GitLab. Розбір логіки роботи з цими "хешами" показав, що вони містять скрипт, закодований за допомогою функції base64 і запускається після декодування. Скрипт знаходив у системі ключі SSH та GPG, а також деякі типи файлів із домашнього каталогу та облікові дані для проектів PyCharm, після чого відправляв їх на зовнішній сервер, запущений у хмарній інфраструктурі DigitalOcean.
Джерело: opennet.ru