Les équiptes de sécurité de GitLab viennent de publier une campagne d'attaque sur la chaîne logicielle en utilisant une pratique de typosquatted de packages Python depuis PyPi. Comme le rappelle proofpoint, "Le typosquatting ou typosquattage, également connu sous le nom de détournement d’URL, est une forme de cybercriminalité opportuniste qui exploite les erreurs de frappe commises par les internautes lorsqu’ils saisissent l’adresse d’un site web.". Simple et effiace. Ce n'est pas la première fois que PyPi subit ce type d'attaque. 

GitLab a repéré l'attaque en monitorant les packages et l'activité anormale sur les paquets Bittensor. Le 6 août dernier, plusieurs packages suspects ont été identifiés :

• bitensor@9.9.4 (02:52 UTC)
• bittenso-cli@9.9.4 (02:59 UTC)
• qbittensor@9.9.4 (03:02 UTC)
• bitensor@9.9.5 (03:15 UTC)
• bittenso@9.9.5 (03:16 UTC)

Ces paquets imitent les paquets officiells bittensor et bittensor-cli. "Notre analyse a révélé un vecteur d'attaque soigneusement conçu, où les attaquants ont modifié une fonctionnalité de jalonnement légitime pour voler des fonds. Les packages malveillants contiennent une version détournée de la fonction stake_extrinsic dans bittensor_cli/commands/stake/add.py. Les hackers ont réussi à insérer du code malveillant à la ligne 275 trompant ainsi l'utilisateur qui s'attend à un fonctionnement normal. Plusieurs usages illégals ont été observés dont :