В каталоге Python-пакетов PyPI
обнаружен вредоносный пакет «colourama», который маскировался под популярную библиотеку «colorama» и включал копию её кода. В дополнение к штатной функциональности colorama (отображение цветных ANSI escape-последовательностей на платформе Windows) вредоносный пакет также включал код для загрузки и установки в систему скрипта на Visual Basic, активировавшийся в момент установки пакета на платформе Windows.

После установки в систему скрипт вызывался каждые 500 мс и производил отслеживание содержимого буфера обмена. В случае обнаружения в буфере обмена идентификатора bitcoin-кошелька скрипт подменял присутствующий адрес кошелька на свой кошелёк, рассчитывая на то, что пользователь не заметит подмены и сделает перевод на адрес мошенника. Для распространения пакета использовался метод тайпсквоттинга, при котором название вредоносного пакета выбирается максимально похожим на существующий популярный пакет, а жертвами становятся невнимательные пользователи, допускающие опечатки при поиске.

Вредоносный пакет находился в репозитории PyPI с 5 декабря 2017 года и был замечен одним из исследователей безопасности, экспериментирующим с системой автоматизированного выявления вредоносных пакетов. За последние 6 месяцев вредоносный пакет был загружен 171 раз, из которых 58 загрузок пришлось на последний месяц. Всего исследователем было проанализировано 123 тысячи пакетов в PyPI. В ходе анализа, помимо colourama было выявлено ещё 11 вредоносных пакетов: smplejson, pkgutil, timeit, diango, djago, dajngo, djanga, easyinstall, libpeshka, pyconau-funtimes и mybiubiubiu. В настоящее время все упомянутые вредоносные пакеты уже удалены из репозитория.