Les chercheurs en cybersécurité ont découvert des bibliothèques malveillantes dans le référentiel Python Package Index (PYPI) qui sont conçues pour voler des informations sensibles.
Deux des packages, BitcoinlibdbFix et Bitcoinlib-Dev, se masquent comme corrects pour Problèmes récents détecté dans un module Python légitime appelé bitcoinlib, selon Inversion. Un troisième package découvert Par Socket, Disgrasya, contenait un script de cardage entièrement automatisé ciblant les magasins WooCommerce.
Les packages ont attiré des centaines de téléchargements avant d’être retirés, selon les statistiques de Pepy.tech –
“Les bibliothèques malveillantes tentent toutes deux une attaque similaire, écrasant la commande légitime” CLW CLI “avec un code malveillant qui tente d’exfiltrer les fichiers de base de données sensibles”, a déclaré RecournLabs.
Dans une tournure intéressante, les auteurs des bibliothèques contrefaits auraient rejoint une discussion sur le problème de GitHub et ont tenté sans succès de inciter les utilisateurs sans méfiance à télécharger le correctif prétendu et à exécuter la bibliothèque.
D’un autre côté, Disgrasya s’est avéré être ouvertement malveillant, ne faisant aucun effort pour cacher ses fonctionnalités de vol de cartes et de cartes de crédit.
“La charge utile malveillante a été introduite dans la version 7.36.9, et toutes les versions ultérieures ont transporté la même logique d’attaque intégrée”, a déclaré l’équipe de recherche de socket.
Cardageaussi appelé Ruplage de la carte de créditfait référence à une forme automatisée de fraude de paiement dans laquelle les fraudeurs testent une liste en vrac d’informations de crédit ou de carte de débit volées par rapport au système de traitement des paiements d’un marchand pour vérifier les détails de la carte violée ou volée. Il relève d’une catégorie d’attaque plus large appelée abus de transactions automatisées.
Une source typique pour les données de carte de crédit volées est un forum de cardage, où les détails de la carte de crédit sont pilés par les victimes à l’aide de diverses méthodes comme le phishing, l’écrémage ou les logiciels malveillants de voleur annoncé à la vente à d’autres acteurs de menace pour poursuivre les activités criminelles.
Une fois qu’ils sont actifs (c’est-à-dire non signalés, volés ou désactivés), les escrocs les utilisent pour acheter des cartes-cadeaux ou des cartes prépayées, qui sont ensuite revendus pour le profit. Les acteurs de la menace sont également connus pour tester si les cartes sont valables en tentant de petites transactions sur les sites de commerce électronique pour éviter d’être signalée pour la fraude par les propriétaires de cartes.
Le package Rogue identifié par Socket est conçu pour valider les informations de carte de crédit volées, en particulier ciblant les commerçants utilisant WooCommerce avec Cybersource comme passerelle de paiement.
Le script y parvient en émulant les actions d’une activité d’achat légitime, en trouvant un produit par programme, en l’ajoutant à un panier, en naviguant vers la page de paiement WooCommerce et en remplissant le formulaire de paiement avec des détails de facturation randomisés et les données de carte de crédit volées.
En imitant un processus de paiement réel, l’idée est de tester la validité des cartes pillées et d’exfiltrer les détails pertinents, tels que le numéro de carte de crédit, la date d’expiration et le CVV, à un serveur externe sous le contrôle de l’attaquant (“Railgunmisaka[.]com “) sans attirer l’attention des systèmes de détection de fraude.
“Bien que le nom puisse lever les sourcils aux locuteurs natifs (‘Disgrasya’ est un argot philippin pour` `catastrophe ” ou` `accident ”), il s’agit d’une caractérisation appropriée d’un package qui exécute un processus en plusieurs étapes émulant un voyage de caisse légitime à travers un magasin en ligne afin de tester les cartes de crédit volées contre de véritables systèmes de paiement sans déclenchement de la fraude”, a déclaré Socket.
“En incorporant cette logique dans un package Python publié sur PYPI et téléchargé plus de 34 000 fois, l’attaquant a créé un outil modulaire qui pourrait être facilement utilisé dans des cadres d’automatisation plus grands, faisant de Disgrasya un utilitaire de cardage puissant déguisé en bibliothèque inoffensive.”



