Los investigadores de ciberseguridad han descubierto bibliotecas maliciosas en el repositorio de Python Package Index (PYPI) que están diseñados para robar información confidencial.
Dos de los paquetes, Bitcoinlibdbfix y Bitcoinlib-Dev, Masquerade como soluciones para problemas recientes detectados en un módulo de pitón oficial llamado bitcoinlib, según ReversingLabs. Un tercer paquete descubierto por Socket, Disgraya, contenía un script de cardado totalmente automatizado dirigido a las tiendas WooCommerce.
Los paquetes atrajeron cientos de descargas antaño de ser retirados, según estadísticas de Pepy.tech –
«Las bibliotecas maliciosas intentan un ataque similar, sobrescribiendo el comando oficial ‘CLW CLI’ con código malvado que intenta exfiltrar archivos de cojín de datos confilados», dijo ReversingLabs.
En un construcción interesante, se dice que los autores de las bibliotecas falsificadas se unieron a una discusión de problemas de GitHub e intentaron sin éxito engañar a los usuarios desprevenidos para que descarguen la supuesta opción y ejecución de la biblioteca.
Por otro flanco, se ha enfrentado que Disguraya es abiertamente malvado, sin hacer ningún esfuerzo para ocultar su cardado e información de tarjetas de crédito que roba la funcionalidad.
«La carga útil maliciosa se introdujo en la lectura 7.36.9, y todas las versiones posteriores llevaban la misma método de ataque integrado», dijo el equipo de investigación de Socket.
El cardado, igualmente llamado relleno de tarjetas de crédito, se refiere a una forma automatizada de fraude de cuota en la que los estafadores prueban una tira masiva de información de crédito o maleable de débito robado contra el sistema de procesamiento de pagos de un comerciante para efectuar los detalles de la maleable incumplidos o robados. Se encuentra en una categoría de ataque más amplia denominada tropelía de transacciones automatizado.
Una fuente típica de los datos de la maleable de crédito robado es un foro de cardado, donde los detalles de la maleable de crédito se aplican a las víctimas que utilizan varios métodos como phishing, skimming o malware de robador se anuncian para la traspaso a otros actores de amenazas para promover actividades criminales.
Una vez que se encuentran activos (es afirmar, no se informan perdidos, robados o desactivados), los estafadores las usan para comprar tarjetas de regalo o tarjetas prepagas, que luego se revenden con fines de provecho. Además se sabe que los actores de amenaza prueban si las tarjetas son válidas al intentar pequeñas transacciones en sitios de comercio electrónico para evitar ser marcados por fraude por los propietarios de tarjetas.
El paquete Rogue identificado por Socket está diseñado para validar la información de la maleable de crédito robada, particularmente dirigirse a comerciantes que usan WooCommerce con Cyberseurce como la pasarela de cuota.
El script logra esto emulando las acciones de una actividad de transacción legítima, encontrar programáticamente un producto, agregarlo a un carro, navegar a la página de cuota de WooCommerce y guatar el formulario de cuota con detalles de facturación aleatorios y los datos de la maleable de crédito robado.
Al imitar un proceso de cuota vivo, la idea es probar la validez de las tarjetas saqueadas y exfiltrarse los detalles relevantes, como el número de maleable de crédito, la momento de vencimiento y el CVV, a un servidor foráneo bajo el control del atacante («RailGunmisaka (.) Com») sin atraer la atención de los sistemas de detección de fraude.
«Si admisiblemente el nombre podría alentar las cejas a los hablantes nativos (‘Disgraya’ es la argot filipina para ‘desastre’ o ‘azar’), es una caracterización adecuada de un paquete que ejecuta un proceso de varios pasos que emulan un delirio oficial a través de una tienda en crencha para probar cartas de crédito robadas contra los sistemas de demostración reales sin detectar la detección de craude», dijo Socket.
«Al fijar esta método interiormente de un paquete de Python publicado en PYPI y descargado más de 34,000 veces, el atacante creó una aparejo modular que podría estilarse fácilmente en marcos de automatización más grandes, lo que hace que Disgrasya sea una poderosa utilidad de cardado disfrazada de una biblioteca inofensiva».
