Los investigadores de ciberseguridad han descubierto bibliotecas maliciosas en el repositorio de Python Package Index (PYPI) que están diseñados para robar información confidencial.
Dos de los paquetes, Bitcoinlibdbfix y Bitcoinlib-Dev, Masquerade como soluciones para problemas recientes detectados en un módulo de pitón permitido llamado bitcoinlib, según ReversingLabs. Un tercer paquete descubierto por Socket, Disgraya, contenía un script de cardado totalmente automatizado dirigido a las tiendas WooCommerce.
Los paquetes atrajeron cientos de descargas antiguamente de ser retirados, según estadísticas de Pepy.tech –
“Las bibliotecas maliciosas intentan un ataque similar, sobrescribiendo el comando permitido ‘CLW CLI’ con código pillo que intenta exfiltrar archivos de almohadilla de datos confilados”, dijo ReversingLabs.
En un modismo interesante, se dice que los autores de las bibliotecas falsificadas se unieron a una discusión de problemas de GitHub e intentaron sin éxito engañar a los usuarios desprevenidos para que descarguen la supuesta opción y ejecución de la biblioteca.
Por otro banda, se ha enemigo que Disguraya es abiertamente pillo, sin hacer ningún esfuerzo para ocultar su cardado e información de tarjetas de crédito que roba la funcionalidad.
“La carga útil maliciosa se introdujo en la interpretación 7.36.9, y todas las versiones posteriores llevaban la misma razonamiento de ataque integrado”, dijo el equipo de investigación de Socket.
El cardado, todavía llamado relleno de tarjetas de crédito, se refiere a una forma automatizada de fraude de plazo en la que los estafadores prueban una registro masiva de información de crédito o plástico de débito robado contra el sistema de procesamiento de pagos de un comerciante para realizar los detalles de la plástico incumplidos o robados. Se encuentra en una categoría de ataque más amplia denominada tropelía de transacciones automatizado.
Una fuente típica de los datos de la plástico de crédito robado es un foro de cardado, donde los detalles de la plástico de crédito se aplican a las víctimas que utilizan varios métodos como phishing, skimming o malware de robador se anuncian para la saldo a otros actores de amenazas para promover actividades criminales.
Una vez que se encuentran activos (es aseverar, no se informan perdidos, robados o desactivados), los estafadores las usan para comprar tarjetas de regalo o tarjetas prepagas, que luego se revenden con fines de ganancia. Todavía se sabe que los actores de amenaza prueban si las tarjetas son válidas al intentar pequeñas transacciones en sitios de comercio electrónico para evitar ser marcados por fraude por los propietarios de tarjetas.
El paquete Rogue identificado por Socket está diseñado para validar la información de la plástico de crédito robada, particularmente dirigirse a comerciantes que usan WooCommerce con Cyberseurce como la pasarela de plazo.
El script logra esto emulando las acciones de una actividad de importación legítima, encontrar programáticamente un producto, agregarlo a un carro, navegar a la página de plazo de WooCommerce y satisfacer el formulario de plazo con detalles de facturación aleatorios y los datos de la plástico de crédito robado.
Al imitar un proceso de plazo auténtico, la idea es probar la validez de las tarjetas saqueadas y exfiltrarse los detalles relevantes, como el número de plástico de crédito, la aniversario de vencimiento y el CVV, a un servidor forastero bajo el control del atacante (“RailGunmisaka (.) Com”) sin atraer la atención de los sistemas de detección de fraude.
“Si proporcionadamente el nombre podría vigorizar las cejas a los hablantes nativos (‘Disgraya’ es la galimatías filipina para ‘desastre’ o ‘casualidad’), es una caracterización adecuada de un paquete que ejecuta un proceso de varios pasos que emulan un alucinación permitido a través de una tienda en secante para probar cartas de crédito robadas contra los sistemas de demostración reales sin detectar la detección de craude”, dijo Socket.
“Al empotrar esta razonamiento adentro de un paquete de Python publicado en PYPI y descargado más de 34,000 veces, el atacante creó una aparejo modular que podría estilarse fácilmente en marcos de automatización más grandes, lo que hace que Disgrasya sea una poderosa utilidad de cardado disfrazada de una biblioteca inofensiva”.
