核心内容摘要
黄色动漫
网络安全研究人员近日在Python官方软件包仓库PyPI中发现多个恶意库这些库专门用于窃取敏感信息。
伪装成修复补丁的恶意包据ReversingLabs披露其中两个名为bitcoinlibdbfix和bitcoinlib-dev的软件包伪装成针对合法Python模块bitcoinlib近期问题的修复补丁。
另一个由Socket发现的disgrasya包则包含针对WooCommerce商店的全自动信用卡盗刷脚本。
根据pepy.tech的统计数据显示这些恶意包在被下架前已获得大量下载bitcoinlibdbfix1,101次下载bitcoinlib-dev735次下载disgrasya37,217次下载ReversingLabs指出这些恶意库都采用相似的攻击手法通过恶意代码覆盖合法的clw cli命令试图窃取敏感数据库文件。
攻击者的社交工程尝试值得注意的是这些伪造库的作者曾参与GitHub问题讨论试图诱骗不知情用户下载所谓的修复补丁并运行恶意库但最终未能得逞。
而disgrasya包则毫不掩饰其恶意意图公然包含信用卡信息窃取功能。
Socket研究团队表示恶意负载从
7.
3
9版本开始引入后续所有版本都嵌入了相同的攻击逻辑。
信用卡盗刷攻击详解信用卡盗刷Carding是一种自动化支付欺诈形式攻击者利用窃取的信用卡信息批量测试商户支付系统以验证这些卡片的有效性。
这类攻击属于更广泛的自动化交易滥用攻击范畴。
被盗信用卡数据通常来自地下交易论坛攻击者通过钓鱼、侧录或窃取木马等手段获取的信用卡信息会在这些论坛上出售。
诈骗者会先测试这些卡片是否仍有效未被挂失或停用然后用于购买礼品卡或预付卡牟利。
为规避风控系统攻击者往往先进行小额交易测试。
针对WooCommerce的自动化攻击Socket发现的disgrasya恶意包专门用于验证被盗信用卡信息主要针对使用CyberSource作为支付网关的WooCommerce商户。
该脚本通过模拟真实购物流程查找商品、加入购物车、进入结账页面然后在支付表单中填入随机账单信息和被盗信用卡数据。
这种模拟真实结账流程的设计旨在测试被盗卡片的有效性同时将信用卡号、有效期和CVV码等关键信息回传到攻击者控制的服务器railgunmisaka[.]com整个过程会规避欺诈检测系统的监控。
高度隐蔽的攻击工具Socket分析指出虽然包名disgrasya菲律宾俚语意为灾难或事故可能引起母语者警觉但它确实准确描述了这个恶意包的行为特征——通过模拟真实购物流程的多步骤操作在不触发欺诈检测的情况下测试被盗信用卡。
攻击者将这套逻辑嵌入PyPI上的Python包中使其下载量超过
4万次成功创建了一个可轻松集成到大型自动化框架中的模块化工具。
这使得disgrasya成为一个伪装成无害库的强大信用卡盗刷工具。