网络安全研究人员发现,一个名为"disgrasya"的恶意Python包在开源平台PyPI上被下载超过3.4万次。该工具通过滥用正规WooCommerce电商平台的API接口,专门用于验证被盗信用卡的有效性。
针对支付网关的自动化攻击
该脚本主要针对使用CyberSource支付网关的WooCommerce商店实施攻击。信用卡盗刷(Carding)犯罪者通常需要验证从暗网数据泄露中获取的大量信用卡信息,以评估其可利用价值。通过这个工具,攻击者能够自动化完成这一关键步骤。
虽然该恶意包现已被PyPI下架,但其高下载量显示出此类恶意操作的猖獗程度。安全公司Socket的研究报告指出:"与依赖欺骗或域名仿冒的传统供应链攻击不同,disgrasya甚至没有试图伪装成合法软件。它公然利用PyPI作为传播渠道,面向更广泛的欺诈者群体。"
值得注意的是,攻击者竟明目张胆地在软件描述中承认其恶意用途。该包描述写道:"一个通过多线程和代理检查多支付网关信用卡有效性的工具"。Socket指出,该包的恶意功能是在7.36.9版本中引入的,这可能是为了规避安全审查——平台对新提交包的检测通常比后续更新更严格。
模拟购物流程验证信用卡
POST请求外传信用卡数据来源:Socket
该恶意包包含的Python脚本会访问正规WooCommerce网站,收集商品ID并通过调用商店后端将商品加入购物车。随后,脚本会跳转到结账页面,窃取CSRF令牌和捕获上下文(capture context)——这是CyberSource用于安全处理信用卡数据的代码片段。
Socket表示,这些信息通常隐藏在页面中且会快速失效,但脚本能即时获取它们,同时用伪造的客户信息填充结账表单。关键的是,脚本并非将盗取的信用卡直接发送至支付网关,而是发送至攻击者控制的服务器(railgunmisaka.com)。该服务器伪装成CyberSource,返回伪造的信用卡令牌。
交易结果输出来源:Socket
最后,脚本会提交包含令牌化信用卡的订单。若交易通过,则证明该卡有效;若失败则记录错误并尝试下一张卡。通过这种方式,攻击者能够自动化验证大量被盗信用卡。这些已验证的信用卡随后可被用于金融欺诈或在网络犯罪市场出售。
防御信用卡盗刷攻击的建议
这种端到端的结账模拟流程使得欺诈检测系统难以识别。研究人员表示:"从收集商品ID和结账令牌,到将盗取的信用卡数据发送给恶意第三方,再到模拟完整结账流程——整个工作流程高度定向且系统化。它被设计成与正常流量模式混为一体,使传统欺诈检测系统极难发现。"
不过,Socket仍提出多种缓解措施:
-
拦截5美元以下的超低价值订单(信用卡盗刷的典型特征)
-
监控具有异常高失败率的多笔小额订单
-
关注来自单一IP地址或地区的高频结账行为
-
在结账流程中添加CAPTCHA验证步骤以干扰自动化脚本
-
对结账和支付接口实施速率限制
 |
END
原文始发于微信公众号(信息安全大事件):恶意 WooCommerce API 信用卡验证工具在 PyPI 平台被下载 3.4 万次
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论