Trong danh mục PyPI (Chỉ mục gói Python), một số gói đã được xác định có chứa mã để khai thác tiền điện tử ẩn. Các vấn đề đã xuất hiện trong các gói maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib và learninglib, tên của chúng được chọn có cách viết giống với các thư viện phổ biến (matplotlib) với mong muốn người dùng sẽ mắc lỗi khi viết và không nhận thấy sự khác biệt (kiểu ngồi xổm). Các gói này đã được đăng vào tháng 123 dưới tài khoản nedog5 và đã được tải xuống khoảng XNUMX nghìn lần trong tổng số hai tháng.
Mã độc được đặt trong thư viện maratlib, được sử dụng trong các gói khác dưới dạng phụ thuộc. Mã độc hại đã bị ẩn bằng cơ chế che giấu độc quyền, không được các tiện ích tiêu chuẩn phát hiện và được thực thi bằng cách thực thi tập lệnh xây dựng setup.py được thực thi trong quá trình cài đặt gói. Từ setup.py, nó đã được tải xuống từ GitHub và tập lệnh bash aza.sh đã được khởi chạy, từ đó tải xuống và khởi chạy các ứng dụng khai thác tiền điện tử Ubqminer hoặc T-Rex.
Nguồn: opennet.ru