Peneliti cybersecurity telah menemukan perpustakaan jahat di repositori Python Package Index (PYPI) yang dirancang untuk mencuri informasi sensitif.
Dua paket, bitcoinlibdbfix dan bitcoinlib-dev, masquerade sebagai perbaikan untuk masalah terbaru yang terdeteksi dalam modul python yang sah yang disebut Bitcoinlib, menurut ReversingLabs. Paket ketiga yang ditemukan oleh Socket, Disgrasya, berisi skrip carding yang sepenuhnya otomatis yang menargetkan toko WooCommerce.
Paket menarik ratusan unduhan sebelum diturunkan, menurut statistik dari pepy.tech –
“Perpustakaan jahat keduanya mencoba serangan serupa, menimpa perintah 'CLW CLI' yang sah dengan kode jahat yang mencoba untuk mengeluarkan file database yang sensitif,” kata ReversingLabs.
Dalam twist yang menarik, penulis perpustakaan palsu dikatakan telah bergabung dengan diskusi masalah GitHub dan tidak berhasil berusaha menipu pengguna untuk mengunduh perbaikan yang diakui dan menjalankan perpustakaan.
Di sisi lain, Disgrasya telah ditemukan secara terbuka jahat, tidak berusaha untuk menyembunyikan fungsi mencuri kartu carding dan kreditnya.
“Muatan berbahaya diperkenalkan dalam versi 7.36.9, dan semua versi berikutnya membawa logika serangan tertanam yang sama,” kata tim peneliti soket.
Carding, juga disebut isian kartu kredit, mengacu pada bentuk penipuan pembayaran otomatis di mana penipu menguji daftar massal informasi kartu kredit atau debit yang dicuri terhadap sistem pemrosesan pembayaran pedagang untuk memverifikasi rincian kartu yang dilanggar atau dicuri. Itu termasuk dalam kategori serangan yang lebih luas yang disebut sebagai penyalahgunaan transaksi otomatis.
Sumber khas untuk data kartu kredit curian adalah forum carding, di mana rincian kartu kredit yang dicuri dari korban menggunakan berbagai metode seperti phishing, skimming, atau pencuri malware diiklankan untuk dijual ke aktor ancaman lainnya untuk aktivitas kriminal lebih lanjut.
Setelah mereka ditemukan aktif (yaitu tidak dilaporkan hilang, dicuri, atau dinonaktifkan), scammers menggunakannya untuk membeli kartu hadiah atau kartu prabayar, yang kemudian dijual kembali untuk keuntungan. Aktor ancaman juga diketahui menguji apakah kartu tersebut valid dengan mencoba transaksi kecil di situs e-commerce untuk menghindari ditandai untuk penipuan oleh pemilik kartu.
Paket nakal yang diidentifikasi oleh Socket dirancang untuk memvalidasi informasi kartu kredit curian, khususnya menargetkan pedagang menggunakan WooCommerce dengan Cybersource sebagai gateway pembayaran.
Script mencapai ini dengan meniru tindakan aktivitas belanja yang sah, secara terprogram menemukan suatu produk, menambahkannya ke gerobak, menavigasi ke halaman checkout WooCommerce, dan mengisi formulir pembayaran dengan rincian penagihan acak dan data kartu kredit yang dicuri.
Dalam meniru proses checkout yang nyata, idenya adalah untuk menguji validitas kartu yang dijarah dan mengekspresikan detail yang relevan, seperti nomor kartu kredit, tanggal kedaluwarsa, dan CVV, ke server eksternal di bawah kendali penyerang (“Railgunmisaka[.]com “) tanpa menarik perhatian sistem deteksi penipuan.
“Sementara namanya mungkin mengangkat alis ke penutur asli ('Disgrasya' adalah bahasa gaul Filipina untuk 'bencana' atau 'kecelakaan'), ini adalah karakterisasi yang tepat dari paket yang mengeksekusi proses multi-langkah yang meniru perjalanan pembelanja yang sah melalui toko online untuk menguji kartu kredit yang dicuri terhadap sistem check-out nyata tanpa memicu deteksi sockper,” socket deteksi.
“Dengan menanamkan logika ini di dalam paket Python yang diterbitkan di PYPI dan diunduh lebih dari 34.000 kali, penyerang menciptakan alat modular yang dapat dengan mudah digunakan dalam kerangka kerja otomatisasi yang lebih besar, menjadikan Disgrasya utilitas carding yang kuat yang disamarkan sebagai perpustakaan yang tidak berbahaya.”
