Πακέτο με 34 χιλιάδες λήψεις καταχράται το WooCommerce API
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Πακέτο με 34 χιλιάδες λήψεις καταχράται το WooCommerce API
https://www.secnews.gr/645434/ergaleio-34-xiliades-lipseis-kataxratai-woocommerce-api/
Apr 7th 2025, 10:54
by Absenta Mia
Το νεοανακαλυφθέν κακόβουλο πακέτο PyPi με την ονομασία 'disgrasya' που εκμεταλλεύεται νόμιμα καταστήματα WooCommerce για την επικύρωση κλεμμένων πιστωτικών καρτών, έχει γίνει λήψη πάνω από 34.000 φορές από την πλατφόρμα ανοιχτού κώδικα.
Δείτε επίσης: Κακόβουλο πακέτο PyPI επιτίθεται σε sites ηλεκτρονικού εμπορίου
Το σενάριο στοχεύει συγκεκριμένα σε καταστήματα WooCommerce που χρησιμοποιούν την πύλη πληρωμών CyberSource για την επικύρωση καρτών, η οποία είναι ένα κρίσιμο βήμα για τους δράστες του carding που χρειάζονται να αξιολογήσουν χιλιάδες κλεμμένες κάρτες από διαρροές του σκοτεινού διαδικτύου και διαρροές βάσεων δεδομένων, προκειμένου να προσδιορίσουν την αξία και την πιθανή εκμετάλλευσή τους.
Παρά την αφαίρεση του πακέτου από το PyPI, οι υψηλοί αριθμοί λήψεων αποδεικνύουν την εκτενή κακοποίηση αυτού του είδους κακόβουλων επιχειρήσεων. Ιδιαίτερη ανησυχία προκαλεί η προκλητική κατάχρηση του PyPi για τη φιλοξενία ενός πακέτου, του οποίου οι δημιουργοί δήλωσαν σαφώς στην περιγραφή ότι χρησιμοποιείται για κακόβουλες δραστηριότητες.
Η Socket αναφέρει ότι η κακόβουλη λειτουργικότητα του πακέτου εισήχθη στην έκδοση 7.36.9, πιθανώς ως μια προσπάθεια να αποφευχθεί η ανίχνευση από ελέγχους ασφαλείας που μπορεί να είναι αυστηρότεροι για τις αρχικές υποβολές σε σύγκριση με τις επόμενες ενημερώσεις.
Το κακόβουλο πακέτο περιλαμβάνει ένα σενάριο Python που επισκέπτεται νόμιμες ιστοσελίδες WooCommerce, συλλέγει τα αναγνωριστικά προϊόντων και στη συνέχεια προσθέτει αντικείμενα στο καλάθι, καλώντας το backend του καταστήματος.
Δείτε ακόμα: Infostealer malware υποδύεται εργαλεία DeepSeek στο PyPI
Στη συνέχεια, πλοηγείται στη σελίδα ολοκλήρωσης αγοράς της ιστοσελίδας, από όπου κλέβει το CSRF token και ένα capture context, το οποίο είναι ένα κομμάτι κώδικα που χρησιμοποιούν οι χρήστες του CyberSource για να επεξεργάζονται με ασφάλεια τα δεδομένα καρτών.
Πακέτο με 34 χιλιάδες λήψεις καταχράται το WooCommerce API
Η Socket αναφέρει ότι αυτά τα δύο στοιχεία είναι συνήθως κρυμμένα στη σελίδα και λήγουν γρήγορα, αλλά το σενάριο τα αποσπά άμεσα ενώ συμπληρώνει τη φόρμα ολοκλήρωσης αγοράς με ψευδείς πληροφορίες πελάτη.
Στο επόμενο βήμα, αντί να στείλει την κλεμμένη κάρτα απευθείας στην πύλη πληρωμών, την αποστέλλει σε έναν διακομιστή που ελέγχεται από τον επιτιθέμενο (railgunmisaka.com), ο οποίος προσποιείται ότι είναι το CyberSource και επιστρέφει ένα ψεύτικο token για την κάρτα.
Τέλος, η παραγγελία με την κωδικοποιημένη κάρτα υποβάλλεται στο ηλεκτρονικό κατάστημα και, εφόσον εγκριθεί, επιβεβαιώνει ότι η κάρτα είναι έγκυρη. Σε περίπτωση αποτυχίας, καταγράφει το σφάλμα και προχωρά στην επόμενη κάρτα.
Χρησιμοποιώντας ένα τέτοιο εργαλείο, οι κακόβουλοι παράγοντες έχουν τη δυνατότητα να εκτελούν την επαλήθευση ενός μεγάλου όγκου κλεμμένων πιστωτικών καρτών με αυτοματοποιημένο τρόπο.
Αυτές οι επαληθευμένες κάρτες μπορούν στη συνέχεια να χρησιμοποιηθούν για την εκτέλεση χρηματοοικονομικής απάτης ή να πωληθούν σε αγορές κυβερνοεγκλήματος.
Δείτε επίσης: Κακόβουλα πακέτα PyPI αντιγράφουν AI μοντέλα για κλοπή δεδομένων
Τα κακόβουλα πακέτα PyPi είναι πακέτα (ή βιβλιοθήκες) με κακόβουλο λογισμικό, που ανεβαίνουν στο Python Package Index (PyPi), το οποίο είναι το κεντρικό αποθετήριο για βιβλιοθήκες Python. Αυτά τα πακέτα φαίνεται να είναι χρήσιμα ή να εκτελούν μια συγκεκριμένη λειτουργία, αλλά στην πραγματικότητα περιέχουν κακόβουλο κώδικα που μπορεί να προκαλέσει ζημιά στον υπολογιστή του χρήστη ή να εκμεταλλευτεί την εφαρμογή στην οποία εγκαθίστανται.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Πακέτο με 34 χιλιάδες λήψεις καταχράται το WooCommerce API
https://www.secnews.gr/645434/ergaleio-34-xiliades-lipseis-kataxratai-woocommerce-api/
Apr 7th 2025, 10:54
by Absenta Mia
Το νεοανακαλυφθέν κακόβουλο πακέτο PyPi με την ονομασία 'disgrasya' που εκμεταλλεύεται νόμιμα καταστήματα WooCommerce για την επικύρωση κλεμμένων πιστωτικών καρτών, έχει γίνει λήψη πάνω από 34.000 φορές από την πλατφόρμα ανοιχτού κώδικα.
Δείτε επίσης: Κακόβουλο πακέτο PyPI επιτίθεται σε sites ηλεκτρονικού εμπορίου
Το σενάριο στοχεύει συγκεκριμένα σε καταστήματα WooCommerce που χρησιμοποιούν την πύλη πληρωμών CyberSource για την επικύρωση καρτών, η οποία είναι ένα κρίσιμο βήμα για τους δράστες του carding που χρειάζονται να αξιολογήσουν χιλιάδες κλεμμένες κάρτες από διαρροές του σκοτεινού διαδικτύου και διαρροές βάσεων δεδομένων, προκειμένου να προσδιορίσουν την αξία και την πιθανή εκμετάλλευσή τους.
Παρά την αφαίρεση του πακέτου από το PyPI, οι υψηλοί αριθμοί λήψεων αποδεικνύουν την εκτενή κακοποίηση αυτού του είδους κακόβουλων επιχειρήσεων. Ιδιαίτερη ανησυχία προκαλεί η προκλητική κατάχρηση του PyPi για τη φιλοξενία ενός πακέτου, του οποίου οι δημιουργοί δήλωσαν σαφώς στην περιγραφή ότι χρησιμοποιείται για κακόβουλες δραστηριότητες.
Η Socket αναφέρει ότι η κακόβουλη λειτουργικότητα του πακέτου εισήχθη στην έκδοση 7.36.9, πιθανώς ως μια προσπάθεια να αποφευχθεί η ανίχνευση από ελέγχους ασφαλείας που μπορεί να είναι αυστηρότεροι για τις αρχικές υποβολές σε σύγκριση με τις επόμενες ενημερώσεις.
Το κακόβουλο πακέτο περιλαμβάνει ένα σενάριο Python που επισκέπτεται νόμιμες ιστοσελίδες WooCommerce, συλλέγει τα αναγνωριστικά προϊόντων και στη συνέχεια προσθέτει αντικείμενα στο καλάθι, καλώντας το backend του καταστήματος.
Δείτε ακόμα: Infostealer malware υποδύεται εργαλεία DeepSeek στο PyPI
Στη συνέχεια, πλοηγείται στη σελίδα ολοκλήρωσης αγοράς της ιστοσελίδας, από όπου κλέβει το CSRF token και ένα capture context, το οποίο είναι ένα κομμάτι κώδικα που χρησιμοποιούν οι χρήστες του CyberSource για να επεξεργάζονται με ασφάλεια τα δεδομένα καρτών.
Πακέτο με 34 χιλιάδες λήψεις καταχράται το WooCommerce API
Η Socket αναφέρει ότι αυτά τα δύο στοιχεία είναι συνήθως κρυμμένα στη σελίδα και λήγουν γρήγορα, αλλά το σενάριο τα αποσπά άμεσα ενώ συμπληρώνει τη φόρμα ολοκλήρωσης αγοράς με ψευδείς πληροφορίες πελάτη.
Στο επόμενο βήμα, αντί να στείλει την κλεμμένη κάρτα απευθείας στην πύλη πληρωμών, την αποστέλλει σε έναν διακομιστή που ελέγχεται από τον επιτιθέμενο (railgunmisaka.com), ο οποίος προσποιείται ότι είναι το CyberSource και επιστρέφει ένα ψεύτικο token για την κάρτα.
Τέλος, η παραγγελία με την κωδικοποιημένη κάρτα υποβάλλεται στο ηλεκτρονικό κατάστημα και, εφόσον εγκριθεί, επιβεβαιώνει ότι η κάρτα είναι έγκυρη. Σε περίπτωση αποτυχίας, καταγράφει το σφάλμα και προχωρά στην επόμενη κάρτα.
Χρησιμοποιώντας ένα τέτοιο εργαλείο, οι κακόβουλοι παράγοντες έχουν τη δυνατότητα να εκτελούν την επαλήθευση ενός μεγάλου όγκου κλεμμένων πιστωτικών καρτών με αυτοματοποιημένο τρόπο.
Αυτές οι επαληθευμένες κάρτες μπορούν στη συνέχεια να χρησιμοποιηθούν για την εκτέλεση χρηματοοικονομικής απάτης ή να πωληθούν σε αγορές κυβερνοεγκλήματος.
Δείτε επίσης: Κακόβουλα πακέτα PyPI αντιγράφουν AI μοντέλα για κλοπή δεδομένων
Τα κακόβουλα πακέτα PyPi είναι πακέτα (ή βιβλιοθήκες) με κακόβουλο λογισμικό, που ανεβαίνουν στο Python Package Index (PyPi), το οποίο είναι το κεντρικό αποθετήριο για βιβλιοθήκες Python. Αυτά τα πακέτα φαίνεται να είναι χρήσιμα ή να εκτελούν μια συγκεκριμένη λειτουργία, αλλά στην πραγματικότητα περιέχουν κακόβουλο κώδικα που μπορεί να προκαλέσει ζημιά στον υπολογιστή του χρήστη ή να εκμεταλλευτεί την εφαρμογή στην οποία εγκαθίστανται.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια