PyPI恶意软件包已传播3.9万次，被曝专门窃取开发者敏感数据

网络安全研究人员近日在Python官方软件包仓库PyPI中发现多个恶意库，这些库专门用于窃取敏感信息。

伪装成修复补丁的恶意包

据ReversingLabs披露，其中两个名为bitcoinlibdbfix和bitcoinlib-dev的软件包，伪装成针对合法Python模块bitcoinlib近期问题的修复补丁。另一个由Socket发现的disgrasya包则包含针对WooCommerce商店的全自动信用卡盗刷脚本。

根据pepy.tech的统计数据显示，这些恶意包在被下架前已获得大量下载：

• bitcoinlibdbfix：1,101次下载
• bitcoinlib-dev：735次下载
• disgrasya：37,217次下载

ReversingLabs指出："这些恶意库都采用相似的攻击手法，通过恶意代码覆盖合法的'clw cli'命令，试图窃取敏感数据库文件。"

攻击者的社交工程尝试

值得注意的是，这些伪造库的作者曾参与GitHub问题讨论，试图诱骗不知情用户下载所谓的修复补丁并运行恶意库，但最终未能得逞。

而disgrasya包则毫不掩饰其恶意意图，公然包含信用卡信息窃取功能。Socket研究团队表示："恶意负载从7.36.9版本开始引入，后续所有版本都嵌入了相同的攻击逻辑。"

信用卡盗刷攻击详解

信用卡盗刷（Carding）是一种自动化支付欺诈形式，攻击者利用窃取的信用卡信息批量测试商户支付系统，以验证这些卡片的有效性。这类攻击属于更广泛的"自动化交易滥用"攻击范畴。

被盗信用卡数据通常来自地下交易论坛，攻击者通过钓鱼、侧录或窃取木马等手段获取的信用卡信息会在这些论坛上出售。诈骗者会先测试这些卡片是否仍有效（未被挂失或停用），然后用于购买礼品卡或预付卡牟利。为规避风控系统，攻击者往往先进行小额交易测试。

针对WooCommerce的自动化攻击

Socket发现的disgrasya恶意包专门用于验证被盗信用卡信息，主要针对使用CyberSource作为支付网关的WooCommerce商户。该脚本通过模拟真实购物流程：查找商品、加入购物车、进入结账页面，然后在支付表单中填入随机账单信息和被盗信用卡数据。

这种模拟真实结账流程的设计，旨在测试被盗卡片的有效性，同时将信用卡号、有效期和CVV码等关键信息回传到攻击者控制的服务器（railgunmisaka[.]com），整个过程会规避欺诈检测系统的监控。

高度隐蔽的攻击工具

Socket分析指出："虽然包名'disgrasya'（菲律宾俚语，意为'灾难'或'事故'）可能引起母语者警觉，但它确实准确描述了这个恶意包的行为特征——通过模拟真实购物流程的多步骤操作，在不触发欺诈检测的情况下测试被盗信用卡。"

"攻击者将这套逻辑嵌入PyPI上的Python包中，使其下载量超过3.4万次，成功创建了一个可轻松集成到大型自动化框架中的模块化工具。这使得disgrasya成为一个伪装成无害库的强大信用卡盗刷工具。"