PyPi 供应链攻击愈发猖獗，新型恶意包盗刷信用卡

点击上方蓝字关注我们

据 ReversingLabs 称，其中两个名为 bitcoinlibdbfix 和 bitcoinlib-dev 的软件包，伪装成了对一个名为 bitcoinlib 的合法 Python 模块中近期发现问题的修复程序。Socket 发现的第三个软件包 disgrasya，包含了一个针对 WooCommerce 商店的全自动信用卡盗刷脚本。

根据 pepy.tech 的统计数据，这些软件包在被下架之前吸引了大量下载，总下载量超过 3.9 万次。其中，bitcoinlibdbfix 被下载了 1101 次，bitcoinlib-dev 被下载了 735 次，而 disgrasya 的下载量高达 37217 次。

ReversingLabs 指出：“这些恶意库都采用了类似的攻击方式，用试图窃取敏感数据库文件的恶意代码覆盖了合法的‘clw cli’命令。”

有趣的是，据说这些假冒库的作者还参与了 GitHub 上的一个问题讨论，试图诱骗毫无防备的用户下载所谓的修复程序并运行该库，但最终未能得逞。

另一方面，disgrasya 被发现具有明显的恶意性，毫不掩饰其信用卡盗刷和信用卡信息窃取功能。Socket 研究团队表示：“恶意负载是在 7.36.9 版本中引入的，后续的所有版本都包含相同的嵌入式攻击逻辑。”

信用卡盗刷，也被称为信用卡填充，是一种自动化的支付欺诈形式。在这种欺诈行为中，欺诈者会根据商家的支付处理系统，测试大量被盗的信用卡或借记卡信息列表，以验证这些信息是否已被泄露或被盗。这属于一种更广泛的攻击类别，即自动交易滥用。

被盗信用卡数据的一个典型来源是信用卡盗刷论坛。在这些论坛上，通过网络钓鱼、磁条信息窃取或恶意软件窃取等各种手段从受害者那里获取的信用卡详细信息，会被公开出售给其他威胁行为者，以进一步实施犯罪活动。

一旦确认这些信用卡仍处于有效状态（即未被报失、被盗或停用），诈骗者就会使用这些信用卡购买礼品卡或预付卡，然后转售获利。此外，威胁行为者还会通过在电子商务网站上进行小额交易，来测试这些信用卡的有效性，以避免被卡主标记为欺诈行为。

Socket 识别出的这个恶意软件包，专门针对使用 WooCommerce 且以 CyberSource 作为支付网关的商家，旨在验证被盗的信用卡信息。

该脚本通过模拟合法购物活动的行为来实现这一目的：它会通过编程方式找到一个商品，将其添加到购物车，导航到 WooCommerce 结账页面，并使用随机生成的账单详细信息和被盗的信用卡数据填写支付表单。

在模拟真实结账过程时，其目的是在不引起欺诈检测系统注意的情况下，测试被盗信用卡的有效性，并将相关详细信息，如信用卡号码、有效期和安全码（CVV），泄露到攻击者控制的外部服务器（“railgunmisaka [.] com”）。

Socket 表示：“虽然这个名字（disgrasya 是菲律宾语中的‘灾难’或‘事故’）可能会让母语为菲律宾语的人感到惊讶，但它恰如其分地描述了这个软件包。它执行了一个多步骤的过程，模拟了合法购物者在网上商店的购物流程，以便在不触发欺诈检测的情况下，针对真实的结账系统测试被盗的信用卡。”

“通过将这种逻辑嵌入到在 PyPI 上发布且被下载超过 3.4 万次的 Python 软件包中，攻击者创建了一个模块化工具，该工具可以轻松地集成到更大的自动化框架中，使 disgrasya 成为一个伪装成无害库的强大信用卡盗刷工具。”

喜欢此文的话，可以点赞、转发、在看 一键三连哦！

原文始发于微信公众号（星尘安全）：PyPi 供应链攻击愈发猖獗，新型恶意包盗刷信用卡