Благодаря тому, что атакующие использовали тайпсквоттинг, сайт хакеров (files.pypihosted[.]org) походил на легитимное зеркало files.pythonhosted.org.Хакер Online
Используя аккаунт editor-syntax, хакеры внесли вредоносный коммит в репозиторий top-gg/python-sdk, добавив инструкции по загрузке вредоносного клона Colorama, а также повысили видимость и репутацию своих вредоносных репозиториев на GitHub.Хакер Online
Чтобы скрыть вредоносный код в Colorama, преступники добавили множество white space, отодвинув сниппет за пределы экрана, чтобы тот не был заметен при беглом просмотре исходников.Хакер Online
Когда вредоносный код выполнялся, процесс заражения продолжался несколькими дополнительными шагами, включая загрузку и выполнение дополнительного Python-кода, получение необходимых библиотек и закрепление в системе.Хакер Online