HackerNews 编译,转载请注明出处:
网络安全研究人员发现Python Package Index(PyPI)仓库中存在恶意Python包,这些包被设计用于窃取敏感信息和测试被盗信用卡数据。
据ReversingLabs称,其中两个恶意包bitcoinlibdbfix和bitcoinlib-dev伪装成比特币库修复程序,通过劫持“clw cli”命令窃取数据库文件。第三个恶意包disgrasya由Socket发现,包含一个完全自动化的信用卡测试脚本,专门针对使用WooCommerce的商户。
这些恶意包在被移除前共被下载超过3.9万次,具体下载量如下:
– bitcoinlibdbfix:1,101次
– bitcoinlib-dev:735次
– disgrasya:37,217次。
ReversingLabs表示,这些恶意包通过覆盖合法命令来窃取敏感数据库文件。此外,disgrasya被发现是公开恶意的,没有掩饰其信用卡信息窃取功能。
disgrasya的恶意载荷从版本7.36.9开始引入,后续版本均包含相同的攻击逻辑。该包通过模拟购物流程验证被盗信用卡信息,并将相关信息(如卡号、有效期和CVV)回传至攻击者控制的服务器。
这种信用卡验证行为称为“信用卡填充”,是一种自动化支付欺诈形式,攻击者通过测试大量被盗信用卡信息来验证其有效性。一旦验证成功,攻击者通常会利用这些卡购买礼品卡或预付卡以牟利。
此外,disgrasya通过模拟真实购物流程,避免触发欺诈检测系统,从而验证被盗信用卡的有效性。这种行为使其成为一种强大的信用卡测试工具,伪装成无害的Python包,被下载超过3.4万次。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
