一个新发现的名为“disgrasya”的恶意PyPi包,滥用合法的WooCommerce商店来验证被盗的信用卡💳️,已从开源包平台下载超过34000次。
该脚本专门针对使用CyberSource支付网关的WooCommerce商店来验证卡,这是梳理参与者的关键步骤,他们需要评估来自暗网转储和泄露数据库的数千张被盗卡,以确定其价值和潜在的利用。
尽管该软件包已从PyPI中删除,但其高下载数量显示了此类恶意操作的绝对滥用量。
Socket研究人员在一份报告中解释说:“与典型的依赖于欺骗或输入的供应链攻击不同,disgrasya并没有试图看起来是合法的。”
这是公开的恶意行为,滥用PyPI作为一个分销渠道,以接触更多的欺诈者。值得一提的是公然滥用PyPi来托管一个包,创建者在描述中明确表示该包用于恶意活动。
Socket指出,软件包上的恶意功能是在版本7.36.9中引入的,可能是为了逃避安全检查的检测,与后续更新相比,初次提交的安全检查可能更严格。
模拟购物者验证信用卡💳️
恶意包包含一个Python脚本,该脚本访问合法的WooCommerce站点,收集产品id,然后通过调用商店的后端将商品添加到购物车🛒中。
接下来,它导航到站点的结结账页面,从中窃取CSRF令牌和捕获上下文,这是CyberSource用户用于安全处理卡数据的代码片段。
Socket表示,这两个通常隐藏在页面上并很快过期,但是脚本在使用虚构的客户信息填充结帐表单时立即捕获它们。
在接下来的步骤中,它不是将被盗的卡直接发送到支付网关,而是将其发送到由攻击者控制的『服务器』(railgunmisaka.com),该『服务器』假装是CyberSource并为该卡提供假令牌。
向外部发送卡片数据的POST请求
最后,将带有令牌化卡的订单提交到网店,如果订单通过,则验证该卡是否有效。如果失败,它将记录错误并尝试下一张卡。
打印的交易结果
使用这样的工具,威胁者能够以自动化的方式对大量被盗信用卡💳️执行验证。这些经过验证的信用卡💳️可能会被滥用来进行金融欺诈或在网络犯罪市场上出售。
