В каталоге PyPI (Python Package Index) выявлено несколько пакетов, включающих код для скрытого майнинга криптовалюты. Проблемы присутствовали в пакетах maratlib,
maratlib1, matplatlib-plus, mllearnlib, mplatlib и learninglib, имена которых выбраны похожими по написанию на популярные библиотеки (matplotlib) с расчётом, что пользователь ошибётся при написании и не заметит отличий (тайпсквоттинг). Пакеты были размещены в апреле под учётной записью nedog123 и за два месяца в сумме были загружены около 5 тысяч раз.
Вредоносный код был размещён в библиотеке maratlib, которая использовалась в остальных пакетах в форме зависимости. Вредоносный код был скрыт с использованием собственного механизма обфускации, не определяемого типовыми утилитами, и запускался при выполнении сборочного скрипта setup.py, выполняемого во время установки пакета.
Из setup.py загружался с GitHub и запускался bash-скриптaza.sh, который в свою очередь загружал и запускал приложения для майнинга криптовалют Ubqminer или T-Rex.