恶意 PyPI 包窃取信用卡数据，滥用 WooCommerce API 验证达 3.4 万次

恶意PyPI软件包"disgrasya"伪装成信用卡验证工具，通过自动化脚本劫持WooCommerce商店结账流程，累计下载量超3.4万次。

一个名为“disgrasya”的恶意PyPI包被发现，该包滥用合法的WooCommerce商店来验证被盗信用卡，并已在开源软件包平台上被下载超过34,000次。

该脚本专门针对使用CyberSource支付网关的WooCommerce商店来验证信用卡，这是卡农行为者评估从暗网转储和泄露数据库中获取的数千张被盗卡的价值和潜在利用的关键步骤。

尽管该包已被从PyPI中移除，但其高下载量显示了此类恶意操作的滥用规模。

“与依赖欺骗或拼写错误的典型供应链攻击不同，disgrasya没有试图显得合法。Socket研究人员的一份报告解释道。

“它公然恶意，滥用PyPI作为分发渠道，以接触更广泛的欺诈者受众。”

特别值得注意的是，disgrasya公然滥用PyPI托管一个包，其创建者在描述中明确指出该包用于恶意活动。

“一个利用多线程和代理通过多个网关检查信用卡的工具。”disgrasya包的描述中写道。

Socket指出，该包的恶意功能从7.36.9版本开始引入，可能是为了逃避安全检查，因为初始提交的安全检查可能比后续更新更严格。

恶意包包含一个Python脚本，该脚本访问合法的WooCommerce网站，收集产品ID，然后通过调用商店的后端将商品添加到购物车。

接下来，它导航到网站的结账页面，在那里窃取CSRF令牌和捕获上下文，这是CyberSource用户用于安全处理卡数据的代码片段。

Socket表示，这两个信息通常在页面上是隐藏的，并且很快过期，但脚本会立即抓取它们，同时用虚构的客户信息填充结账表单。

在下一步中，而不是将窃取的卡直接发送到支付网关，它将卡发送到攻击者控制的服务器（railgunmisaka.com），该服务器假装是CyberSource并返回一个假令牌。

POST请求将卡数据发送到外部

最后，带有令牌化卡的订单在网店中提交，如果订单通过，则验证卡是有效的。如果失败，则记录错误并尝试下一张卡。

打印的交易结果

使用这样的工具，威胁行为者能够以自动化的方式验证大量被盗信用卡。

这些经过验证的卡随后可能被用于进行金融欺诈或在网络犯罪市场上出售。

Socket评论说，这种端到端的结账模拟过程特别难以被目标网站上的欺诈检测系统检测到。

“从收集产品ID和结账令牌，到将窃取的卡数据发送给恶意第三方，以及模拟完整的结账流程，整个工作流程都是高度针对性和有条理的。”Socket表示。

“它旨在融入正常的流量模式，使传统欺诈检测系统极难检测。”

尽管如此，Socket表示有一些方法可以缓解这个问题，比如阻止低于5美元的非常低价值订单，这些订单通常用于卡农攻击，监控具有异常高失败率的多个小额订单，或与单一IP地址或地区相关的高结账量。

Socket还建议在结账流程中添加CAPTCHA步骤，这可能会中断卡农脚本的操作，并在结账和支付端点上应用速率限制。

转载请注明出处@安全威胁纵横，封面由ChatGPT生成；

消息来源：https://www.bleepingcomputer.com/news/security/carding-tool-abusing-woocommerce-api-downloaded-34k-times-on-pypi/

更多网络安全视频，请关注视频号“知道创宇404实验室”

原文始发于微信公众号（安全威胁纵横）：恶意 PyPI 包窃取信用卡数据，滥用 WooCommerce API 验证达 3.4 万次