Специалисты компании Socket обнаружили в репозитории Python Package Index (PyPI) вредоносный пакет disgrasya, который использовался злоумышленниками для автоматизированной проверки украденных банковских карт через легитимные интернет-магазины на платформе WooCommerce. Пакет был загружен более 34 000 раз, что свидетельствует о масштабном распространении этого вредоносного инструмента.
Особенности работы вредоносного пакета
В отличие от типичных атак на цепочку поставок, использующих тайпсквоттинг и маскировку под легитимное ПО, разработчики disgrasya действовали открыто, явно указывая вредоносное назначение пакета в его описании. Малварь была внедрена в версию 7.36.9, что может указывать на попытку обхода систем безопасности PyPI, которые обычно строже проверяют начальные версии пакетов.
Механизм проверки украденных карт
Вредоносный скрипт автоматизировал процесс тестирования карт через платежный шлюз CyberSource. Алгоритм работы включал следующие этапы:
- Сканирование WooCommerce-магазинов и сбор ID товаров
- Автоматическое добавление товаров в корзину
- Перехват CSRF-токенов и служебных данных CyberSource
- Передача данных карт через подставной сервер
- Эмуляция процесса оформления заказа
Сложности обнаружения мошеннических операций
Эксперты отмечают высокую эффективность маскировки вредоносной активности под легитимный пользовательский трафик. Автоматизированный процесс проверки карт имитировал естественное поведение покупателя, что существенно затрудняло выявление мошеннических операций традиционными системами защиты.
Рекомендации по защите
Для противодействия подобным атакам специалисты Socket рекомендуют владельцам интернет-магазинов внедрить следующие меры безопасности:
- Установить минимальный порог стоимости заказа (от $5)
- Внедрить CAPTCHA при оформлении заказа
- Мониторить множественные мелкие транзакции
- Отслеживать заказы с высоким процентом отказов
- Анализировать активность по IP-адресам и географическим регионам
Данный инцидент подчеркивает важность постоянного мониторинга безопасности платежных систем и необходимость комплексного подхода к защите электронной коммерции от современных киберугроз. Владельцам интернет-магазинов рекомендуется регулярно обновлять системы защиты и внедрять многоуровневые механизмы проверки транзакций.
