資安研究人員近期在 Python 套件索引(PyPI)儲存庫中發現多個惡意程式庫,這些套件專門用於竊取敏感資訊及測試盜取的信用卡資料。
惡意套件發現及下載情況
根據 ReversingLabs 的調查,其中兩個套件「bitcoinlibdbfix」和「bitcoinlib-dev」偽裝成合法 Python 模組 bitcoinlib 的問題修復程式。而 Socket 發現的第三個套件「disgrasya」則包含針對 WooCommerce 商店的自動化盜刷程式。
這些套件在被下架前的下載次數相當驚人:
- bitcoinlibdbfix:1,101 次下載
- bitcoinlib-dev:735 次下載
- disgrasya:37,217 次下載
攻擊手法分析
ReversingLabs 分析指出,bitcoinlibdbfix 和 bitcoinlib-dev 兩個惡意套件採用相似的攻擊手法:透過覆寫合法的「clw cli」指令並植入惡意程式碼,以竊取系統中的敏感資料庫檔案。
這些假冒套件的作者甚至加入 GitHub 問題討論串,企圖誘騙使用者下載和執行所謂的修復程式,所幸未能得逞。
相較之下,disgrasya 套件則完全不掩飾其惡意意圖,直接在程式碼中展示盜刷信用卡和竊取支付資訊的功能。Socket 研究團隊指出,惡意程式碼從 7.36.9 版本開始被植入,之後所有版本都包含相同的攻擊邏輯。
盜刷測卡攻擊說明
盜刷測卡(Carding,又稱為卡片填充攻擊)是一種自動化的詐騙手法。駭客會利用程式大量測試遭竊的信用卡或金融卡資料,透過電商平台的支付系統來驗證這些卡片是否仍可使用。
這些遭竊的信用卡資料主要來源為:
- 暗網的地下交易論壇
- 網路釣魚攻擊
- 惡意程式感染
- 卡片側錄裝置
當駭客確認這些遭竊的信用卡仍可使用(例如尚未遭到止付或掛失),就會利用這些卡片購買禮品卡或預付卡來變現獲利。為了避免引起持卡人注意,這些網路犯罪集團通常會先進行小額交易測試,以確認卡片是否能正常交易。
Disgrasya 惡意套件深入分析
Socket 研究發現,「disgrasya」套件專門驗證盜用信用卡資訊的有效性,特別針對使用 CyberSource 作為支付閘道的 WooCommerce 網路商店進行攻擊。
此惡意程式設計精密,能完整模擬真實的網路購物行為。它會自動在電商網站上搜尋商品,將這些商品加入購物車,並順利進入結帳頁面。接著,惡意程式會生成隨機的帳單資訊,同時填入盜用的信用卡資料來完成付款表單。透過這種方式,攻擊者能夠在不被察覺的情況下,有效測試盜用信用卡的有效性,同時避開傳統的詐欺偵測系統。
該惡意套件不僅模擬完整結帳流程以檢測盜用信用卡是否有效,同時將信用卡號碼、到期日和安全碼(CVV)等敏感資訊外洩至攻擊者控制的遠端伺服器("railgunmisaka[.]com"),並具有規避詐欺偵測系統的能力。
值得注意的是,「disgrasya」為菲律賓俚語,意指「災難」或「意外」,剛好反映此套件的本質:
透過模擬合法使用者的購物流程,測試盜用信用卡能否通過實際交易系統的驗證,同時迴避防詐機制。
此自動化工具以 Python 套件形式發布於 PyPI 平台,累計下載次數已超過 3.4 萬次。攻擊者藉此建立模組化工具,可輕易整合至大規模自動化架構中,
使 disgrasya 成為一個偽裝成常規程式庫的強大盜刷工具。
防護建議
為了減緩此類攻擊,Socket 建議電商平台採取以下防護措施:
- 拒絕低於 5 美元的小額刷卡
- 限制結帳和支付端點的請求頻率
- 在結帳流程中啟用驗證碼(CAPTCHA)或自動化防禦機制
- 實施異常交易行為監控
- 定期審核套件來源和安全性
這些防護措施能有效增加攻擊者的操作難度,防止自動化腳本執行盜刷測卡攻擊。
本文轉載自 TheHackerNews。