在Python套件目錄PyPI(Python Package Index)中
惡意程式碼本身存在於“jeIlyfish”套件中,“python3-dateutil”套件將其用作依賴項。
這些名稱是根據搜尋時犯錯的粗心用戶選擇的(
jellyfish 套件包含從基於 GitLab 的外部儲存庫下載「雜湊值」清單的程式碼。 對處理這些「雜湊」的邏輯的分析表明,它們包含使用 base64 函數編碼並在解碼後啟動的腳本。 腳本在系統中找到 SSH 和 GPG 金鑰,以及 PyCharm 專案主目錄中的某些類型的檔案和憑證,然後將它們傳送到在 DigitalOcean 雲端基礎架構上執行的外部伺服器。
來源: opennet.ru