У каталозі Python-пакетів PyPI (Python Package Index) шкідливі пакети» та «", які були завантажені одним автором olgired2017 і маскувались під популярні пакети"» та «» (відрізняється використанням символу «I» (i) замість «l» (L) у назві). Після встановлення зазначених пакетів на сервер зловмисника надсилалися знайдені в системі ключі шифрування та конфіденційні дані користувача. В даний час проблемні пакети вже видалені з PyPI.
Безпосередньо шкідливий код був присутній у пакеті "jeIlyfish", а пакет "python3-dateutil" використовував його як залежність.
Назви були обрані з розрахунку на неуважних користувачів, які допускають помилки під час пошуку (). Шкідливий пакет "jeIlyfish" був завантажений близько року тому - 11 грудня 2018 року і залишався непоміченим. Пакет «python3-dateutil» був завантажений 29 листопада 2019 року і за кілька днів викликав підозру в одного з розробників. Інформація про кількість установок шкідливих пакетів не наводиться.
Пакет jellyfish включав код, що завантажує список «хешів» із зовнішнього репозиторію на базі GitLab. Розбір логіки роботи з цими "хешами" показав, що вони містять скрипт, закодований за допомогою функції base64 і запускається після декодування. Скрипт знаходив у системі ключі SSH та GPG, а також деякі типи файлів із домашнього каталогу та облікові дані для проектів PyCharm, після чого відправляв їх на зовнішній сервер, запущений у хмарній інфраструктурі DigitalOcean.
Джерело: opennet.ru