网络安全研究人员近日在Python官方软件包仓库PyPI中发现多个恶意库,这些库专门用于窃取敏感信息。
伪装成修复补丁的恶意包
据ReversingLabs披露,其中两个名为bitcoinlibdbfix和bitcoinlib-dev的软件包,伪装成针对合法Python模块bitcoinlib近期问题的修复补丁。另一个由Socket发现的disgrasya包则包含针对WooCommerce商店的全自动信用卡盗刷脚本。
根据pepy.tech的统计数据显示,这些恶意包在被下架前已获得大量下载:
- bitcoinlibdbfix:1,101次下载
- bitcoinlib-dev:735次下载
- disgrasya:37,217次下载
ReversingLabs指出:"这些恶意库都采用相似的攻击手法,通过恶意代码覆盖合法的'clw cli'命令,试图窃取敏感数据库文件。"
攻击者的社交工程尝试
值得注意的是,这些伪造库的作者曾参与GitHub问题讨论,试图诱骗不知情用户下载所谓的修复补丁并运行恶意库,但最终未能得逞。
而disgrasya包则毫不掩饰其恶意意图,公然包含信用卡信息窃取功能。Socket研究团队表示:"恶意负载从7.36.9版本开始引入,后续所有版本都嵌入了相同的攻击逻辑。"
信用卡盗刷攻击详解
信用卡盗刷(Carding)是一种自动化支付欺诈形式,攻击者利用窃取的信用卡信息批量测试商户支付系统,以验证这些卡片的有效性。这类攻击属于更广泛的"自动化交易滥用"攻击范畴。
被盗信用卡数据通常来自地下交易论坛,攻击者通过钓鱼、侧录或窃取木马等手段获取的信用卡信息会在这些论坛上出售。诈骗者会先测试这些卡片是否仍有效(未被挂失或停用),然后用于购买礼品卡或预付卡牟利。为规避风控系统,攻击者往往先进行小额交易测试。
针对WooCommerce的自动化攻击
Socket发现的disgrasya恶意包专门用于验证被盗信用卡信息,主要针对使用CyberSource作为支付网关的WooCommerce商户。该脚本通过模拟真实购物流程:查找商品、加入购物车、进入结账页面,然后在支付表单中填入随机账单信息和被盗信用卡数据。
这种模拟真实结账流程的设计,旨在测试被盗卡片的有效性,同时将信用卡号、有效期和CVV码等关键信息回传到攻击者控制的服务器(railgunmisaka[.]com),整个过程会规避欺诈检测系统的监控。
高度隐蔽的攻击工具
Socket分析指出:"虽然包名'disgrasya'(菲律宾俚语,意为'灾难'或'事故')可能引起母语者警觉,但它确实准确描述了这个恶意包的行为特征——通过模拟真实购物流程的多步骤操作,在不触发欺诈检测的情况下测试被盗信用卡。"
"攻击者将这套逻辑嵌入PyPI上的Python包中,使其下载量超过3.4万次,成功创建了一个可轻松集成到大型自动化框架中的模块化工具。这使得disgrasya成为一个伪装成无害库的强大信用卡盗刷工具。"
)