Специалисты по кибербезопасности обнаружили три злоумышленно разработанных пакета на официальном репозитории PyPI, суммарное число скачиваний которых превысило 39 000 раз. Злоумышленники использовали библиотеки, выдающие себя за решения для исправления проблем в bitcoinlib, а также инструмент для проведения фродовых транзакций.
Пакеты bitcoinlibdbfix и bitcoinlib-dev позиционировались как фиксы для ошибок в модуле bitcoinlib, однако их истинная цель заключалась в подмене легитимной команды «clw cli» на вредоносный код, способный утекать содержимое баз данных. Статистика подтверждает, что bitcoinlibdbfix был скачан 1 101 раз, а bitcoinlib-dev — 735 раз.
Пакет disgrasya, название которого происходит от филиппинского сленга и означает «бедствие» или «аварию», представляет собой явно вредоносный инструмент. С общим числом скачиваний в 37 217 экземпляров, disgrasya содержит полностью автоматизированный скрипт для проведения карточинга интернет-магазинов на базе WooCommerce. В версии 7.36.9 и последующих релизах был интегрирован модуль, предназначенный для проверки украденных данных кредитных карт.
Код этих библиотек работает путем переопределения команды «clw cli», что позволяет злоумышленникам беспрепятственно осуществлять утечку чувствительной информации. Скрипт внутри disgrasya имитирует реальный процесс покупки: поиск и выбор товара, добавление его в корзину, переход к странице оформления заказа и заполнение платежной формы случайными данными вместе с украденными сведениями, включая номер карты, срок действия и CVV. Полученная информация передается на сервер railgunmisaka[.]com.
Методика, используемая для проведения карточного фрода, подразумевает тестирование украденных кредитных данных с помощью небольших транзакций. Мошенники, получающие данные посредством фишинга, скимминга или вредоносного ПО, используют специализированные форумы для обмена информацией и дальнейшей эксплуатации. Такую тактику применяют для обхода систем предупреждения о мошенничестве и для последующей перепродажи подарочных или предоплаченных карт.
Инструмент disgrasya демонстрирует, как автоматизированный сценарий может эмулировать обычное поведение пользователя: программа находит нужный товар, добавляет его в корзину и осуществляет проверку платежных данных, минимизируя риск обнаружения. Такой подход позволяет злоумышленникам быстро и незаметно определять активность украденных карт в системах интернет-магазинов, особенно в тех, что используют платежный шлюз CyberSource.
Разработчики пакетов bitcoinlibdbfix и bitcoinlib-dev пытались обманным путём завлечь пользователей, участвуя в обсуждениях на GitHub, где они предлагали загрузить фиксы для проблем с bitcoinlib. Однако их попытки социальной инженерии не нашли поддержки и были быстро распознаны экспертами по безопасности.
Обнаруженные инциденты свидетельствуют о высокой активности киберпреступников в экосистеме Python, подчеркивая необходимость тщательной проверки внешних пакетов даже в официальных репозиториях. Повышенная внимательность при выборе и установке библиотек становится ключевым фактором защиты от подобных угроз.
Изображение носит иллюстративный характер
Пакеты bitcoinlibdbfix и bitcoinlib-dev позиционировались как фиксы для ошибок в модуле bitcoinlib, однако их истинная цель заключалась в подмене легитимной команды «clw cli» на вредоносный код, способный утекать содержимое баз данных. Статистика подтверждает, что bitcoinlibdbfix был скачан 1 101 раз, а bitcoinlib-dev — 735 раз.
Пакет disgrasya, название которого происходит от филиппинского сленга и означает «бедствие» или «аварию», представляет собой явно вредоносный инструмент. С общим числом скачиваний в 37 217 экземпляров, disgrasya содержит полностью автоматизированный скрипт для проведения карточинга интернет-магазинов на базе WooCommerce. В версии 7.36.9 и последующих релизах был интегрирован модуль, предназначенный для проверки украденных данных кредитных карт.
Код этих библиотек работает путем переопределения команды «clw cli», что позволяет злоумышленникам беспрепятственно осуществлять утечку чувствительной информации. Скрипт внутри disgrasya имитирует реальный процесс покупки: поиск и выбор товара, добавление его в корзину, переход к странице оформления заказа и заполнение платежной формы случайными данными вместе с украденными сведениями, включая номер карты, срок действия и CVV. Полученная информация передается на сервер railgunmisaka[.]com.
Методика, используемая для проведения карточного фрода, подразумевает тестирование украденных кредитных данных с помощью небольших транзакций. Мошенники, получающие данные посредством фишинга, скимминга или вредоносного ПО, используют специализированные форумы для обмена информацией и дальнейшей эксплуатации. Такую тактику применяют для обхода систем предупреждения о мошенничестве и для последующей перепродажи подарочных или предоплаченных карт.
Инструмент disgrasya демонстрирует, как автоматизированный сценарий может эмулировать обычное поведение пользователя: программа находит нужный товар, добавляет его в корзину и осуществляет проверку платежных данных, минимизируя риск обнаружения. Такой подход позволяет злоумышленникам быстро и незаметно определять активность украденных карт в системах интернет-магазинов, особенно в тех, что используют платежный шлюз CyberSource.
Разработчики пакетов bitcoinlibdbfix и bitcoinlib-dev пытались обманным путём завлечь пользователей, участвуя в обсуждениях на GitHub, где они предлагали загрузить фиксы для проблем с bitcoinlib. Однако их попытки социальной инженерии не нашли поддержки и были быстро распознаны экспертами по безопасности.
Обнаруженные инциденты свидетельствуют о высокой активности киберпреступников в экосистеме Python, подчеркивая необходимость тщательной проверки внешних пакетов даже в официальных репозиториях. Повышенная внимательность при выборе и установке библиотек становится ключевым фактором защиты от подобных угроз.