網(wǎng)絡安全研究人員發(fā)現(xiàn)，一個名為"disgrasya"的惡意Python包在開源平臺PyPI上被下載超過3.4萬次。該工具通過濫用正規(guī)WooCommerce電商平臺的API接口，專門用于驗證被盜信用卡的有效性。

針對支付網(wǎng)關的自動化攻擊

該腳本主要針對使用CyberSource支付網(wǎng)關的WooCommerce商店實施攻擊。信用卡盜刷（Carding）犯罪者通常需要驗證從暗網(wǎng)數(shù)據(jù)泄露中獲取的大量信用卡信息，以評估其可利用價值。通過這個工具，攻擊者能夠自動化完成這一關鍵步驟。

雖然該惡意包現(xiàn)已被PyPI下架，但其高下載量顯示出此類惡意操作的猖獗程度。安全公司Socket的研究報告指出："與依賴欺騙或域名仿冒的傳統(tǒng)供應鏈攻擊不同，disgrasya甚至沒有試圖偽裝成合法軟件。它公然利用PyPI作為傳播渠道，面向更廣泛的欺詐者群體。"

值得注意的是，攻擊者竟明目張膽地在軟件描述中承認其惡意用途。該包描述寫道："一個通過多線程和代理檢查多支付網(wǎng)關信用卡有效性的工具"。Socket指出，該包的惡意功能是在7.36.9版本中引入的，這可能是為了規(guī)避安全審查——平臺對新提交包的檢測通常比后續(xù)更新更嚴格。

模擬購物流程驗證信用卡

POST請求外傳信用卡數(shù)據(jù) 來源：Socket

該惡意包包含的Python腳本會訪問正規(guī)WooCommerce網(wǎng)站，收集商品ID并通過調(diào)用商店后端將商品加入購物車。隨后，腳本會跳轉(zhuǎn)到結賬頁面，竊取CSRF令牌和捕獲上下文（capture context）——這是CyberSource用于安全處理信用卡數(shù)據(jù)的代碼片段。

Socket表示，這些信息通常隱藏在頁面中且會快速失效，但腳本能即時獲取它們，同時用偽造的客戶信息填充結賬表單。關鍵的是，腳本并非將盜取的信用卡直接發(fā)送至支付網(wǎng)關，而是發(fā)送至攻擊者控制的服務器（railgunmisaka.com）。該服務器偽裝成CyberSource，返回偽造的信用卡令牌。

交易結果輸出 來源：Socket

最后，腳本會提交包含令牌化信用卡的訂單。若交易通過，則證明該卡有效；若失敗則記錄錯誤并嘗試下一張卡。通過這種方式，攻擊者能夠自動化驗證大量被盜信用卡。這些已驗證的信用卡隨后可被用于金融欺詐或在網(wǎng)絡犯罪市場出售。

防御信用卡盜刷攻擊的建議

Socket指出，這種端到端的結賬模擬流程使得欺詐檢測系統(tǒng)難以識別。研究人員表示："從收集商品ID和結賬令牌，到將盜取的信用卡數(shù)據(jù)發(fā)送給惡意第三方，再到模擬完整結賬流程——整個工作流程高度定向且系統(tǒng)化。它被設計成與正常流量模式混為一體，使傳統(tǒng)欺詐檢測系統(tǒng)極難發(fā)現(xiàn)。"

不過，Socket仍提出多種緩解措施：

• 攔截5美元以下的超低價值訂單（信用卡盜刷的典型特征）
• 監(jiān)控具有異常高失敗率的多筆小額訂單
• 關注來自單一IP地址或地區(qū)的高頻結賬行為
• 在結賬流程中添加CAPTCHA驗證步驟以干擾自動化腳本
• 對結賬和支付接口實施速率限制