Cybersecurity -onderzoekers hebben kwaadaardige bibliotheken ontdekt in de Python Package Index (PYPI) -repository die zijn ontworpen om gevoelige informatie te stelen.
Twee van de pakketten, bitcoinlibdbfix en bitcoinlib-dev, maskerade als fixes voor recente kwesties die zijn gedetecteerd in een legitieme python-module genaamd bitcoinlib, volgens ReversingLabs. Een derde pakket ontdekt door Socket, DisGrasya, bevatte een volledig geautomatiseerd kaardenscript gericht op WooCommerce -winkels.
De pakketten trokken honderden downloads voordat ze werden verwijderd, volgens statistieken van Pepy.Tech –
“De kwaadaardige bibliotheken proberen beide een vergelijkbare aanval, die het legitieme ‘CLW CLI’ -opdracht overschrijven met kwaadaardige code die probeert gevoelige databasebestanden te exfiltreren,” zei Reversinglabs.
In een interessante wending zouden de auteurs van de vervalste bibliotheken worden aangesloten bij een Github -uitgifte -discussie en tevergeefs hebben geprobeerd om niet -verwerkende gebruikers te misleiden om de vermeende fix te downloaden en de bibliotheek te runnen.
Aan de andere kant is DisGrasya openlijk kwaadaardig gebleken, wat geen moeite heeft gedaan om zijn kaart- en creditcardinformatie -functionaliteit te verbergen.
“De kwaadaardige lading werd geïntroduceerd in versie 7.36.9 en alle volgende versies droegen dezelfde ingebedde aanvalslogica,” zei het onderzoeksteam van de socket.
Carding, ook wel creditcardvulling genoemd, verwijst naar een geautomatiseerde vorm van betalingsfraude waarin fraudeurs een bulklijst met gestolen krediet- of betaalpasinformatie testen tegen het betalingsverwerkingssysteem van een handelaar om inbreuk of gestolen kaartgegevens te verifiëren. Het valt onder een bredere aanvalscategorie aangeduid als geautomatiseerd transactiemisbruik.
Een typische bron voor gestolen creditcardgegevens is een kaartenforum, waarbij creditcardgegevens van slachtoffers worden gestimuleerd met behulp van verschillende methoden zoals phishing, skimming of Stealer -malware te koop aan andere dreigingsactoren voor verdere criminele activiteiten.
Zodra ze actief zijn bevonden (dwz niet verloren, gestolen of gedeactiveerd), gebruiken oplichters ze om cadeaubonnen of prepaid -kaarten te kopen, die vervolgens worden doorverkocht voor winst. Het is ook bekend dat dreigingsactoren testen of de kaarten geldig zijn door kleine transacties te proberen op e-commerce sites om te voorkomen dat ze door de kaartbezitters worden gemarkeerd voor fraude.
Het Rogue -pakket geïdentificeerd door Socket is ontworpen om gestolen creditcardinformatie te valideren, met name gericht op verkopers die WooCommerce gebruiken met cybersource als betalingsgateway.
Het script bereikt dit door de acties van een legitieme winkelactiviteit na te streven, programmatisch een product te vinden, toe te voegen aan een kar, navigeren naar de WooCommerce Checkout -pagina en het betalingsformulier in te vullen met gerandomiseerde factureringsdetails en de gestolen creditcardgegevens.
Bij het nabootsen van een echt kassaproces is het idee om de geldigheid van de geplunderde kaarten te testen en de relevante details te exfiltreren, zoals het creditcardnummer, de vervaldatum en CVV, naar een externe server onder controle van de aanvaller (“Railgunmisaka (.) Com”) zonder de aandacht van fraudedetectiesystemen te trekken.
“Hoewel de naam wenkbrauwen kan opvoeden voor native speakers (‘DisGrasya’ is Filipijns jargon voor ‘ramp’ of ‘ongeval’), is het een toepasselijke karakterisering van een pakket dat een proces van meerdere stappen uitvoert die een legitieme shopper door een online winkel door een online winkel kent om een online winkel te testen tegen echte controlesystemen zonder trigger-fraudedetectie, ‘Socket Secock.
“Door deze logica in te bedden in een Python -pakket dat op PYPI werd gepubliceerd en meer dan 34.000 keer gedownload, creëerde de aanvaller een modulair hulpmiddel dat gemakkelijk in grotere automatiseringskaders kon worden gebruikt, waardoor Disgrasya een krachtig kaartenhulpprogramma wordt vermomd als een onschadelijke bibliotheek.”
