Фахівці з кібербезпеки компанії Socket виявили критичну загрозу в репозиторії Python Package Index (PyPI). Шкідливий пакет під назвою disgrasya, який отримав понад 34 000 завантажень, використовувався кіберзлочинцями для автоматизованої перевірки викрадених банківських карт через легітимні магазини WooCommerce.
Нетиповий підхід до поширення шкідливого коду
На відміну від традиційних методів маскування зловмисного програмного забезпечення, розробники disgrasya діяли відкрито, прямо вказуючи призначення пакета в його описі. Впровадження шкідливого коду у версію 7.36.9 свідчить про спробу обходу систем безпеки PyPI, які зазвичай ретельніше перевіряють початкові версії пакетів.
Технічні аспекти автоматизованої перевірки карт
Шкідливий скрипт реалізував складний алгоритм взаємодії з платіжним шлюзом CyberSource, що включав:
- Автоматичний пошук та індексацію товарів у WooCommerce-магазинах
- Імітацію процесу додавання товарів до кошика
- Автоматизоване перехоплення CSRF-токенів
- Маршрутизацію даних через проміжний сервер
- Емуляцію поведінки реального покупця
Проблеми детектування фрауду
Особливу небезпеку становить висока ефективність маскування зловмисної активності під легітимний користувацький трафік. Імітація природної поведінки покупця суттєво ускладнює виявлення шахрайських операцій стандартними засобами захисту платіжних систем.
Комплексний підхід до захисту
Експерти Socket рекомендують впровадити багаторівневу систему захисту для інтернет-магазинів:
- Встановлення мінімального порогу вартості замовлення
- Інтеграція CAPTCHA на етапі оформлення
- Впровадження системи моніторингу мікротранзакцій
- Аналіз показників відмов за транзакціями
- Геолокаційний аналіз активності користувачів
Виявлення цієї загрози підкреслює критичну важливість постійного вдосконалення систем кібербезпеки в електронній комерції. Операторам платіжних систем та власникам онлайн-магазинів необхідно регулярно оновлювати механізми захисту та впроваджувати передові практики виявлення шахрайства для ефективної протидії сучасним кіберзагрозам.
