នៅក្នុងឧប្បត្តិហេតុថ្មី គោលដៅលើឃ្លាំងផ្ទុកទិន្នន័យ Python Package Index (PyPI) មេរោគចំនួន ៦ត្រូវបានរកឃើញថាលួចព័ត៌មាននៅលើប្រព័ន្ធរបស់អ្នកអភិវឌ្ឍកម្មវិធី។ កាលពីខែធ្នូ ឆ្នាំ២០២២ Phylum បានរកឃើញកូដដែលត្រូវយកចេញរួមមាន pyrologin, easytimestamp, discorder, discord-dev, style.py និង pythonstyles។ កូដអាក្រក់ត្រូវបានលាក់នៅក្នុង setup script (setup.py) មានន័យថាវាកំពុងតែដំណើរការ “ដំឡើង pip” command ដើម្បីដំណើរការមេរោគ malware។
មេរោគ ត្រូវបានដាក់បញ្ចូលទៅក្នុង PowerShell script ដែលទទួលយក ZIP archive file ដំឡើងការព្យាបាទដូចជា pynput, pydirectinput និង pyscreenshot និងដំណើរការ Visual Basic Script ដែលបានទាញចេញពី archive ដើម្បីប្រតិបត្តិ PowerShell code បន្ថែមទៀត។
Phylum បានថ្លែងកាលពីសប្តាហ៍មុនថា បណ្ណាល័យទាំងនេះអនុញ្ញាតឱ្យនរណាម្នាក់គ្រប់គ្រង់ និងត្រួតពិនិត្យកូនកណ្តុរ និងក្តារចុច ដើម្បីថតយក contents របស់អេក្រង់។ កញ្ចប់អាក្រក់ទាំងនេះមានសមត្ថភាពប្រមូលយក cookies, រក្សាទុកលេខសម្ងាត់ និងទិន្នន័យកាបូប cryptocurrency ពី Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera, Opera GX, និង Vivaldi browsers។ ហេគឃ័រមានបំណងចង់ឱ្យជនរងគ្រោះដោនឡូត និងដំឡើង cloudflared ឬ cloudflare Tunnel ដែលផ្តល់នូវសុវត្ថិភាព ដើម្បីទំនាក់ទំនងទៅកាន់ធនធានរបស់អ្នក ឬទៅកាន់ Cloudflare ដោយមិនត្រូវការ IP address ឡើយ។ មេរោគនេះអាចឱ្យហេគឃ័រដំណើរការ shell commands, ដោនឡូតឯកសារបញ្ជា និងប្រតិបត្តិឯកសារនោះនៅលើ host, ច្រោះយកឯកសារ និង directories ទាំងស្រុង និងសូម្បីតែដំណើរការកូដ python តាមចិត្តទៀត។ កម្មវិធី Flask ក៏ស្គាល់ “live” feature ដែលប្រើ Javascript ដើម្បីស្តាប់កូនកណ្តុរ និងការចុចលើក្តារចុច និងថតអេក្រង់របស់ប្រព័ន្ធ ដើម្បីទាញយកព័ត៌មានសំខាន់ៗរបស់ជនរងគ្រោះ៕
ប្រែសម្រួលដោយ៖ កញ្ញា