Plus de 170.000 personnes pourraient être touchées par une attaque de la chaîne d’approvisionnement visant la communauté GitHub du serveur Discord de Top.gg, via des paquets Python infectés. Des intrusions dans les comptes de membres de confiance de la communauté GitHub ont été signalées.
Selon l’éditeur en cybersécurité CheckMarx, les paquets Python malveillants ont été mis en ligne en novembre 2022 sur un faux site web mais l’attaque a eu lieu il y a un mois. Le domaine PyPI officiel est pythonhosted.org donc le pirate a enregistré un nom de domaine similaire, pypihosted, pour en faire un faux site sur lequel il a hébergé l’outil Colorama et quelques logiciels malveillants pouvant survivre à des redémarrages.
Le pirate a remplacé les instances du domaine PyPI authentique par l’URL du sosie sur GitHub. Il s’est ensuite introduit dans plusieurs comptes GitHub, dont celui d’editor-syntax, l’un des mainteneurs de Top.gg. Le pirate a effectué un commit sur Top.gg via son compte GitHub et inséré le faux paquet Colorama entre plusieurs URL réelles, pour le rendre moins repérable.
Les utilisateurs de Top.gg ne se sont aperçus de la compromission que le 3 mars dernier.