Pacotes maliciosos no PyPI são baixados mais de 39 mil vezes e roubam dados sensíveis

Pesquisadores de cibersegurança descobriram bibliotecas maliciosas no repositório PyPI (Python Package Index), criadas para roubar informações sensíveis e testar dados de cartões de crédito roubados.

Dois desses pacotes, chamados bitcoinlibdbfix e bitcoinlib-dev, se passavam por correções para problemas recentes identificados em um módulo legítimo do Python chamado bitcoinlib, segundo a ReversingLabs. Um terceiro pacote, identificado pela Socket com o nome disgrasya, continha um script totalmente automatizado para realizar fraudes com cartões em lojas WooCommerce.

De acordo com dados do site pepy.tech, os pacotes foram baixados centenas ou até milhares de vezes antes de serem removidos:

• bitcoinlibdbfix – 1.101 downloads

• bitcoinlib-dev – 735 downloads

• disgrasya – 37.217 downloads

“As bibliotecas maliciosas tentam um ataque semelhante: sobrescrevem o comando legítimo ‘clw cli’ com código malicioso que visa extrair arquivos de banco de dados sensíveis”, afirmou a ReversingLabs.

Em uma reviravolta curiosa, os criadores das bibliotecas falsas chegaram a participar de discussões de issues no GitHub, tentando enganar usuários desavisados para que baixassem e executassem o falso "corretivo". Por outro lado, o pacote disgrasya não fez qualquer esforço para esconder sua função: ele claramente executava scripts para roubo e validação de cartões de crédito.

Segundo a equipe da Socket, o código malicioso foi incluído a partir da versão 7.36.9, sendo mantido nas versões seguintes. Esse tipo de fraude, chamado de carding, consiste em testar automaticamente listas de cartões roubados em sistemas de pagamento online para verificar quais dados ainda estão válidos. Esses dados, geralmente obtidos em fóruns de venda de cartões por meio de técnicas como phishing, skimming ou malware, são usados para comprar cartões-presente ou realizar pequenas transações que não chamem atenção dos sistemas antifraude.

O script presente no pacote disgrasya tinha como alvo específico lojas WooCommerce que usam o CyberSource como gateway de pagamento. Ele simulava uma jornada real de compra: escolhia um produto, adicionava ao carrinho, acessava a página de checkout e preenchia os dados de pagamento com informações aleatórias e o cartão roubado.

Essa simulação permitia validar os dados do cartão (número, validade e CVV), que eram então enviados para um servidor controlado pelo hacker, identificado como “railgunmisaka[.]com”. Com isso, o invasor evitava alertas de sistemas antifraude. Segundo a Socket, embora o nome “disgrasya” (gíria filipina para “desastre”) chame a atenção, é apropriado para descrever um pacote que disfarça uma poderosa ferramenta de carding como se fosse uma simples biblioteca inofensiva.

Via - THN