在Python包目录PyPI(Python Package Index)中
恶意代码本身存在于“jeIlyfish”包中,“python3-dateutil”包将其用作依赖项。
这些名称是根据搜索时犯错的粗心用户选择的(
jellyfish 包包含从基于 GitLab 的外部存储库下载“哈希值”列表的代码。 对处理这些“哈希”的逻辑的分析表明,它们包含使用 base64 函数编码并在解码后启动的脚本。 该脚本在系统中找到 SSH 和 GPG 密钥,以及 PyCharm 项目主目录中的某些类型的文件和凭证,然后将它们发送到在 DigitalOcean 云基础设施上运行的外部服务器。
来源: opennet.ru