Siber güvenlik araştırmacıları, hassas bilgileri çalmak için tasarlanmış Python Paket Dizin (PYPI) deposunda kötü amaçlı kütüphaneleri ortaya çıkardılar.
ReversingLabs’a göre, Bitcoinlibdbfix ve Bitcoinlib-Dev, Bitcoinlibdbfix ve Bitcoinlib-Dev, Masquerade olarak Bitcoinlib adı verilen meşru bir Python modülünde tespit edilen son konular için düzeltmeler olarak. Soket tarafından keşfedilen üçüncü bir paket, Woocommerce mağazalarını hedefleyen tam otomatik bir kartlama komut dosyası içeriyordu.
Pepy.tech’ten istatistiklere göre paketler kaldırılmadan önce yüzlerce indirme çekti –
ReversingLabs, “Kötü niyetli kütüphaneler, benzer bir saldırı deniyor ve meşru ‘CLW CLI’ komutunu hassas veritabanı dosyalarını dışarı atmaya çalışan kötü amaçlı kodla üzerine yazıyor.” Dedi.
İlginç bir bükülmede, sahte kütüphanelerin yazarlarının bir GitHub sorunu tartışmasına katıldıkları ve şüphesiz kullanıcıları söz konusu düzeltmeyi indirmeye ve kütüphaneyi çalıştırmaya çalışmaya çalıştıkları söyleniyor.
Öte yandan, Ungrasya’nın açıkça kötü niyetli olduğu bulunmuştur, bu da kartı ve kredi kartı bilgilerini çalma işlevselliğini gizlemek için hiçbir çaba sarf etmiştir.
Soket araştırma ekibi, “Kötü niyetli yük, 7.36.9 sürümünde tanıtıldı ve sonraki tüm sürümler aynı gömülü saldırı mantığını taşıdı.” Dedi.
Kredi kartı doldurma olarak da adlandırılan kartlama, sahtekarların ihlal edilen veya çalınan kart ayrıntılarını doğrulamak için bir satıcının ödeme işleme sistemine karşı çalınan kredi veya banka kartı bilgilerinin toplu bir listesini test ettiği otomatik bir ödeme sahtekarlığı biçimini ifade eder. Otomatik işlem kötüye kullanımı olarak adlandırılan daha geniş bir saldırı kategorisine girer.
Çalınan kredi kartı verileri için tipik bir kaynak, kimlik avı, sıyırma veya stealer kötü amaçlı yazılım gibi çeşitli yöntemler kullanılarak mağdurlardan gelen kredi kartı detaylarının diğer tehdit aktörlerine daha fazla suç faaliyeti için satılmak üzere ilan edildiği bir kartlama forumudur.
Aktif oldukları tespit edildikten sonra (yani kayıp, çalınan veya devre dışı bırakıldığı bildirilmedi), dolandırıcılar bunları hediye kartları veya ön ödemeli kartlar satın almak için kullanırlar ve daha sonra kâr için yeniden satılır. Tehdit aktörlerinin, kart sahipleri tarafından sahtekarlık için işaretlenmesini önlemek için e-ticaret sitelerinde küçük işlemler deneyerek kartların geçerli olup olmadığını test ettikleri bilinmektedir.
Soket ile tanımlanan haydut paketi, özellikle WooCommerce kullanan tüccarları ödeme ağ geçidi olarak hedefleyen çalıntı kredi kartı bilgilerini doğrulamak için tasarlanmıştır.
Senaryo, meşru bir alışveriş etkinliğinin eylemlerini taklit ederek, programlı olarak bir ürün bularak, bir arabaya ekleyerek, WooCommerce Checkout sayfasına giderek ve ödeme formunu randomize faturalandırma ayrıntıları ve çalınan kredi kartı verileriyle doldurarak elde eder.
Gerçek bir ödeme işlemini taklit ederken, fikir yağmalanan kartların geçerliliğini test etmek ve kredi kartı numarası, son kullanma tarihi ve CVV gibi ilgili ayrıntıları saldırganın kontrolü altındaki harici bir sunucuya (“railgunmisaka[.]com “) dolandırıcılık tespit sistemlerinin dikkatini çekmeden.
“Adı anadili hoparlörlere kaşları yükseltebilir (‘Ungrasya’ ‘felaket’ veya ‘kaza’ için Filipinli argodur), meşru bir alışveriş yapan kişinin, sahtekarlık tespitini tetiklemeden gerçek bir check-system sistemlerine karşı çalınan kredi kartlarını taklit eden çok aşamalı bir işlemi gerçekleştiren bir paketin uygun bir karakterizasyonudur.” Dedi.
“Bu mantığı Pypi’de yayınlanan ve 34.000’den fazla kez indirilen bir Python paketinin içine yerleştirerek, saldırgan daha büyük otomasyon çerçevelerinde kolayca kullanılabilecek modüler bir araç oluşturdu ve Unsgrasya’yı zararsız bir kütüphane olarak gizlenmiş güçlü bir kartlama hizmeti haline getirdi.”