網絡安全研究人員發現，一個名為"disgrasya"的惡意Python包在開源平臺PyPI上被下載超過3.4萬次。該工具通過濫用正規WooCommerce電商平臺的API接口，專門用于驗證被盜信用卡的有效性。

針對支付網關的自動化攻擊

該腳本主要針對使用CyberSource支付網關的WooCommerce商店實施攻擊。信用卡盜刷（Carding）犯罪者通常需要驗證從暗網數據泄露中獲取的大量信用卡信息，以評估其可利用價值。通過這個工具，攻擊者能夠自動化完成這一關鍵步驟。

雖然該惡意包現已被PyPI下架，但其高下載量顯示出此類惡意操作的猖獗程度。安全公司Socket的研究報告指出："與依賴欺騙或域名仿冒的傳統供應鏈攻擊不同，disgrasya甚至沒有試圖偽裝成合法軟件。它公然利用PyPI作為傳播渠道，面向更廣泛的欺詐者群體。"

值得注意的是，攻擊者竟明目張膽地在軟件描述中承認其惡意用途。該包描述寫道："一個通過多線程和代理檢查多支付網關信用卡有效性的工具"。Socket指出，該包的惡意功能是在7.36.9版本中引入的，這可能是為了規避安全審查——平臺對新提交包的檢測通常比后續更新更嚴格。

模擬購物流程驗證信用卡

POST請求外傳信用卡數據 來源：Socket

該惡意包包含的Python腳本會訪問正規WooCommerce網站，收集商品ID并通過調用商店后端將商品加入購物車。隨后，腳本會跳轉到結賬頁面，竊取CSRF令牌和捕獲上下文（capture context）——這是CyberSource用于安全處理信用卡數據的代碼片段。

Socket表示，這些信息通常隱藏在頁面中且會快速失效，但腳本能即時獲取它們，同時用偽造的客戶信息填充結賬表單。關鍵的是，腳本并非將盜取的信用卡直接發送至支付網關，而是發送至攻擊者控制的服務器（railgunmisaka.com）。該服務器偽裝成CyberSource，返回偽造的信用卡令牌。

交易結果輸出 來源：Socket

最后，腳本會提交包含令牌化信用卡的訂單。若交易通過，則證明該卡有效；若失敗則記錄錯誤并嘗試下一張卡。通過這種方式，攻擊者能夠自動化驗證大量被盜信用卡。這些已驗證的信用卡隨后可被用于金融欺詐或在網絡犯罪市場出售。

防御信用卡盜刷攻擊的建議

Socket指出，這種端到端的結賬模擬流程使得欺詐檢測系統難以識別。研究人員表示："從收集商品ID和結賬令牌，到將盜取的信用卡數據發送給惡意第三方，再到模擬完整結賬流程——整個工作流程高度定向且系統化。它被設計成與正常流量模式混為一體，使傳統欺詐檢測系統極難發現。"

不過，Socket仍提出多種緩解措施：

• 攔截5美元以下的超低價值訂單（信用卡盜刷的典型特征）
• 監控具有異常高失敗率的多筆小額訂單
• 關注來自單一IP地址或地區的高頻結賬行為
• 在結賬流程中添加CAPTCHA驗證步驟以干擾自動化腳本
• 對結賬和支付接口實施速率限制