网络安全研究人员发现,一个名为"disgrasya"的恶意Python包在开源平台PyPI上被下载超过3.4万次。该工具通过滥用正规WooCommerce电商平台的API接口,专门用于验证被盗信用卡的有效性。
针对支付网关的自动化攻击
该脚本主要针对使用CyberSource支付网关的WooCommerce商店实施攻击。信用卡盗刷(Carding)犯罪者通常需要验证从暗网数据泄露中获取的大量信用卡信息,以评估其可利用价值。通过这个工具,攻击者能够自动化完成这一关键步骤。
虽然该恶意包现已被PyPI下架,但其高下载量显示出此类恶意操作的猖獗程度。安全公司Socket的研究报告指出:"与依赖欺骗或域名仿冒的传统供应链攻击不同,disgrasya甚至没有试图伪装成合法软件。它公然利用PyPI作为传播渠道,面向更广泛的欺诈者群体。"
值得注意的是,攻击者竟明目张胆地在软件描述中承认其恶意用途。该包描述写道:"一个通过多线程和代理检查多支付网关信用卡有效性的工具"。Socket指出,该包的恶意功能是在7.36.9版本中引入的,这可能是为了规避安全审查——平台对新提交包的检测通常比后续更新更严格。
模拟购物流程验证信用卡
POST请求外传信用卡数据 来源:Socket
该恶意包包含的Python脚本会访问正规WooCommerce网站,收集商品ID并通过调用商店后端将商品加入购物车。随后,脚本会跳转到结账页面,窃取CSRF令牌和捕获上下文(capture context)——这是CyberSource用于安全处理信用卡数据的代码片段。
Socket表示,这些信息通常隐藏在页面中且会快速失效,但脚本能即时获取它们,同时用伪造的客户信息填充结账表单。关键的是,脚本并非将盗取的信用卡直接发送至支付网关,而是发送至攻击者控制的服务器(railgunmisaka.com)。该服务器伪装成CyberSource,返回伪造的信用卡令牌。
交易结果输出 来源:Socket
最后,脚本会提交包含令牌化信用卡的订单。若交易通过,则证明该卡有效;若失败则记录错误并尝试下一张卡。通过这种方式,攻击者能够自动化验证大量被盗信用卡。这些已验证的信用卡随后可被用于金融欺诈或在网络犯罪市场出售。
防御信用卡盗刷攻击的建议
Socket指出,这种端到端的结账模拟流程使得欺诈检测系统难以识别。研究人员表示:"从收集商品ID和结账令牌,到将盗取的信用卡数据发送给恶意第三方,再到模拟完整结账流程——整个工作流程高度定向且系统化。它被设计成与正常流量模式混为一体,使传统欺诈检测系统极难发现。"
不过,Socket仍提出多种缓解措施:
- 拦截5美元以下的超低价值订单(信用卡盗刷的典型特征)
- 监控具有异常高失败率的多笔小额订单
- 关注来自单一IP地址或地区的高频结账行为
- 在结账流程中添加CAPTCHA验证步骤以干扰自动化脚本
- 对结账和支付接口实施速率限制
参考来源:
Carding tool abusing WooCommerce API downloaded 34K times on PyPI
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
