恶意 WooCommerce API 信用卡验证工具在 PyPI 平台被下载 3.4 万次

2025-11-26 19:04:46分类：物联网阅读(8136)

网络安全研究人员发现，恶意一个名为"disgrasya"的信用下载恶意Python包在开源平台PyPI上被下载超过3.4万次。该工具通过滥用正规WooCommerce电商平台的卡验API接口，专门用于验证被盗信用卡的证工有效性。

针对支付网关的台被自动化攻击

该脚本主要针对使用CyberSource支付网关的WooCommerce商店实施攻击。信用卡盗刷（Carding）犯罪者通常需要验证从暗网数据泄露中获取的恶意大量信用卡信息，以评估其可利用价值。信用下载通过这个工具，卡验攻击者能够自动化完成这一关键步骤。亿华云证工

虽然该恶意包现已被PyPI下架，台被但其高下载量显示出此类恶意操作的恶意猖獗程度。安全公司Socket的信用下载研究报告指出："与依赖欺骗或域名仿冒的传统供应链攻击不同，disgrasya甚至没有试图伪装成合法软件。卡验它公然利用PyPI作为传播渠道，证工面向更广泛的台被欺诈者群体。"

值得注意的是，攻击者竟明目张胆地在软件描述中承认其恶意用途。香港云服务器该包描述写道："一个通过多线程和代理检查多支付网关信用卡有效性的工具"。Socket指出，该包的恶意功能是在7.36.9版本中引入的，这可能是为了规避安全审查——平台对新提交包的检测通常比后续更新更严格。

模拟购物流程验证信用卡

POST请求外传信用卡数据来源：Socket

该恶意包包含的Python脚本会访问正规WooCommerce网站，收集商品ID并通过调用商店后端将商品加入购物车。随后，免费模板脚本会跳转到结账页面，窃取CSRF令牌和捕获上下文（capture context）——这是CyberSource用于安全处理信用卡数据的代码片段。

Socket表示，这些信息通常隐藏在页面中且会快速失效，但脚本能即时获取它们，同时用伪造的客户信息填充结账表单。关键的是，脚本并非将盗取的信用卡直接发送至支付网关，源码下载而是发送至攻击者控制的服务器（railgunmisaka.com）。该服务器伪装成CyberSource，返回伪造的信用卡令牌。