網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，一個(gè)名為"disgrasya"的惡意Python包在開源平臺(tái)PyPI上被下載超過3.4萬次。該工具通過濫用正規(guī)WooCommerce電商平臺(tái)的API接口，專門用于驗(yàn)證被盜信用卡的有效性。

針對(duì)支付網(wǎng)關(guān)的自動(dòng)化攻擊

該腳本主要針對(duì)使用CyberSource支付網(wǎng)關(guān)的WooCommerce商店實(shí)施攻擊。信用卡盜刷（Carding）犯罪者通常需要驗(yàn)證從暗網(wǎng)數(shù)據(jù)泄露中獲取的大量信用卡信息，以評(píng)估其可利用價(jià)值。通過這個(gè)工具，攻擊者能夠自動(dòng)化完成這一關(guān)鍵步驟。

雖然該惡意包現(xiàn)已被PyPI下架，但其高下載量顯示出此類惡意操作的猖獗程度。安全公司Socket的研究報(bào)告指出："與依賴欺騙或域名仿冒的傳統(tǒng)供應(yīng)鏈攻擊不同，disgrasya甚至沒有試圖偽裝成合法軟件。它公然利用PyPI作為傳播渠道，面向更廣泛的欺詐者群體。"

值得注意的是，攻擊者竟明目張膽地在軟件描述中承認(rèn)其惡意用途。該包描述寫道："一個(gè)通過多線程和代理檢查多支付網(wǎng)關(guān)信用卡有效性的工具"。Socket指出，該包的惡意功能是在7.36.9版本中引入的，這可能是為了規(guī)避安全審查——平臺(tái)對(duì)新提交包的檢測(cè)通常比后續(xù)更新更嚴(yán)格。

模擬購(gòu)物流程驗(yàn)證信用卡

POST請(qǐng)求外傳信用卡數(shù)據(jù) 來源：Socket

該惡意包包含的Python腳本會(huì)訪問正規(guī)WooCommerce網(wǎng)站，收集商品ID并通過調(diào)用商店后端將商品加入購(gòu)物車。隨后，腳本會(huì)跳轉(zhuǎn)到結(jié)賬頁面，竊取CSRF令牌和捕獲上下文（capture context）——這是CyberSource用于安全處理信用卡數(shù)據(jù)的代碼片段。

Socket表示，這些信息通常隱藏在頁面中且會(huì)快速失效，但腳本能即時(shí)獲取它們，同時(shí)用偽造的客戶信息填充結(jié)賬表單。關(guān)鍵的是，腳本并非將盜取的信用卡直接發(fā)送至支付網(wǎng)關(guān)，而是發(fā)送至攻擊者控制的服務(wù)器（railgunmisaka.com）。該服務(wù)器偽裝成CyberSource，返回偽造的信用卡令牌。

交易結(jié)果輸出 來源：Socket

最后，腳本會(huì)提交包含令牌化信用卡的訂單。若交易通過，則證明該卡有效；若失敗則記錄錯(cuò)誤并嘗試下一張卡。通過這種方式，攻擊者能夠自動(dòng)化驗(yàn)證大量被盜信用卡。這些已驗(yàn)證的信用卡隨后可被用于金融欺詐或在網(wǎng)絡(luò)犯罪市場(chǎng)出售。

防御信用卡盜刷攻擊的建議

Socket指出，這種端到端的結(jié)賬模擬流程使得欺詐檢測(cè)系統(tǒng)難以識(shí)別。研究人員表示："從收集商品ID和結(jié)賬令牌，到將盜取的信用卡數(shù)據(jù)發(fā)送給惡意第三方，再到模擬完整結(jié)賬流程——整個(gè)工作流程高度定向且系統(tǒng)化。它被設(shè)計(jì)成與正常流量模式混為一體，使傳統(tǒng)欺詐檢測(cè)系統(tǒng)極難發(fā)現(xiàn)。"

不過，Socket仍提出多種緩解措施：

• 攔截5美元以下的超低價(jià)值訂單（信用卡盜刷的典型特征）
• 監(jiān)控具有異常高失敗率的多筆小額訂單
• 關(guān)注來自單一IP地址或地區(qū)的高頻結(jié)賬行為
• 在結(jié)賬流程中添加CAPTCHA驗(yàn)證步驟以干擾自動(dòng)化腳本
• 對(duì)結(jié)賬和支付接口實(shí)施速率限制