【样本分享】恶意PyPI包利用WooCommerce API进行信用卡验证，下载量达3.4万次

概要：

一款名为'disgrasya'的恶意PyPI包被发现利用合法的WooCommerce商店进行盗取信用卡的验证，下载量超过34,000次。这一事件凸显了网络安全领域中针对电子商务平台的严重威胁，尤其是在金融欺诈日益猖獗的背景下。

主要内容：

该恶意包专门针对使用CyberSource支付网关的WooCommerce商店，帮助卡片盗窃者评估从暗网泄露的数千张信用卡的价值。尽管该包已从PyPI平台移除，但其高下载量显示出此类恶意操作的广泛性。Socket研究人员指出，'disgrasya'包的描述明确表示其用于恶意活动，且没有伪装成合法工具。

该恶意包包含一个Python脚本，能够访问合法的WooCommerce网站，收集产品ID，并通过调用商店后端将商品添加到购物车。接着，它获取CSRF令牌和捕获上下文，这些信息通常在页面上隐藏且快速过期。脚本在填写结账表单时迅速抓取这些信息，并将盗取的信用卡数据发送到攻击者控制的服务器，而非直接发送到支付网关。

通过这种方式，攻击者能够自动化验证大量被盗信用卡。这些经过验证的卡片可以被用于金融欺诈或在网络犯罪市场上出售。Socket建议采取措施来阻止此类卡片攻击，例如监控低价值订单、增加结账流程中的验证码步骤，以及对结账和支付端点实施速率限制，以干扰卡片盗窃脚本的操作。