一個新發現的名為“disgrasya”的惡意PyPi包，濫用合法的WooCommerce商店來驗證被盜的信用卡，已從開源包平臺下載超過34000次。

該腳本專門針對使用CyberSource支付網關的WooCommerce商店來驗證卡，這是梳理參與者的關鍵步驟，他們需要評估來自暗網轉儲和泄露數據庫的數千張被盜卡，以確定其價值和潛在的利用。

盡管該軟件包已從PyPI中刪除，但其高下載數量顯示了此類惡意操作的絕對濫用量。

Socket研究人員在一份報告中解釋說：“與典型的依賴于欺騙或輸入的供應鏈攻擊不同，disgrasya并沒有試圖看起來是合法的。”

這是公開的惡意行為，濫用PyPI作為一個分銷渠道，以接觸更多的欺詐者。值得一提的是公然濫用PyPi來托管一個包，創建者在描述中明確表示該包用于惡意活動。

Socket指出，軟件包上的惡意功能是在版本7.36.9中引入的，可能是為了逃避安全檢查的檢測，與后續更新相比，初次提交的安全檢查可能更嚴格。

模擬購物者驗證信用卡

惡意包包含一個Python腳本，該腳本訪問合法的WooCommerce站點，收集產品id，然后通過調用商店的后端將商品添加到購物車中。

接下來，它導航到站點的結結賬頁面，從中竊取CSRF令牌和捕獲上下文，這是CyberSource用戶用于安全處理卡數據的代碼片段。

Socket表示，這兩個通常隱藏在頁面上并很快過期，但是腳本在使用虛構的客戶信息填充結帳表單時立即捕獲它們。

在接下來的步驟中，它不是將被盜的卡直接發送到支付網關，而是將其發送到由攻擊者控制的服務器（railgunmisaka.com），該服務器假裝是CyberSource并為該卡提供假令牌。

向外部發送卡片數據的POST請求

最后，將帶有令牌化卡的訂單提交到網店，如果訂單通過，則驗證該卡是否有效。如果失敗，它將記錄錯誤并嘗試下一張卡。

打印的交易結果

使用這樣的工具，威脅者能夠以自動化的方式對大量被盜信用卡執行驗證。這些經過驗證的信用卡可能會被濫用來進行金融欺詐或在網絡犯罪市場上出售。

如何阻止梳理攻擊

這種端到端結帳模擬過程對于目標網站上的欺詐檢測系統來說尤其難以檢測。

“整個工作流程——從收集產品id和結帳令牌，到將被盜的卡數據發送給惡意的第三方，再到模擬完整的結帳流程——都是高度有針對性和有條不紊的，”Socket說。

它被設計成融入正常的交通模式，使得傳統的欺詐檢測系統難以檢測到。

不過，Socket表示，有一些方法可以緩解這個問題，比如阻止價值低于5美元的訂單，這通常用于梳理攻擊，監控多個失敗率異常高的小訂單，或者與單個IP地址或地區相關的高結帳量。

Socket還建議在結帳流程中添加CAPTCHA步驟，這可能會中斷整理腳本的操作，以及在結帳和支付端點上應用速率限制。

參考及來源：https://www.bleepingcomputer.com/news/security/carding-tool-abusing-woocommerce-api-downloaded-34k-times-on-pypi/