Разработчик Лукас Мартини (Lukas Martini), живущий в Германии, 2 вредоносные Python-библиотеки в наборе пакетов Python (Python Package Index, PyPI), которые применялись для хищения SSH- и GPG-ключей из проектов заражённых устройств программистов.
Эти библиотеки созданы программистом, работающим под ником olgired2017. Они выдавали себя за другие библиотеки, которые более частоиспользуемы. Это осуществлялось с помощью механизма typosquatting для создания похожих имен. Первая библиотека — «python3-dateutil», выдавала себя за популярную библиотеку «dateutil», а вторая — «jeIlyfish», маскировалась под библиотеку «jellyfish».
Эксперт, нашедший эти библиотеки, сообщил, что вредоносный код имелся только в библиотеке jeIlyfish. Пакет python3-dateutil не имел своего вредоносного кода, но при этом импортировал библиотеку jeIlyfish.
Один из создателей библиотеки «dateutil» Пол Ганссл (Paul Ganssle) пояснил: «Программный код в библиотеке «jeIlyfish» скачивает файл с названием «hashsum», предназначение которого на первый взгляд непонятно, из репозитория GitLab, потом декодирует его в Python-файл и запускает. Далее этот файл пробует получить SSH- и GPG-ключи с ПК жертвы и отослать их злоумышленнику».
Мартини оповестил создателей dateutil и отдел безопасности PyPI, и опасные библиотеки были оперативно убраны. Библиотека python3-dateutil была сделана и опубликована в PyPI за 2 дня до удаления, а jeIlyfish была в каталоге практически год — с 11 декабря прошлого года.