Scoperto pacchetto PyPI malevolo per attacchi carding automatizzati

La sicurezza del software open-source torna nuovamente sotto i riflettori. Il team di ricerca di Socket ha recentemente scoperto un pacchetto malevolo pubblicato sul Python Package Index (PyPI) con l’obiettivo di eseguire attacchi carding automatizzati contro i negozi WooCommerce, una delle piattaforme di e-commerce più utilizzate al mondo.

Il pacchetto, chiamato “disgrasya“, conteneva uno script progettato per testare automaticamente numeri di carte di credito rubate sui siti WooCommerce che utilizzano il gateway di pagamento CyberSource. Questo tipo di attacco, noto come carding, serve ai criminali per verificare quali carte sono ancora attive e funzionanti, così da poterle successivamente utilizzare in frodi finanziarie.

Ciò che rende disgrasya particolarmente allarmante è la sua popolarità: era stato scaricato più di 34.860 volte al momento della scoperta. Il payload dannoso è stato introdotto nella versione 7.36.9 e tutte le versioni successive hanno portato la stessa logica di attacco incorporata.”, spiegano i ricercatori.

Abuso PyPI come canale di distribuzione

A differenza di altri attacchi alla supply chain che cercano di camuffarsi con tecniche di typosquatting (imitando pacchetti legittimi con nomi simili), “disgrasya” ha abusato di PyPI come canale di distribuzione per raggiungere un pubblico più ampio di truffatori. Il codice era apertamente dannoso, con funzionalità che automatizzavano l’interazione con i sistemi di pagamento per simulare transazioni reali e verificare la validità delle carte.

L’intero flusso di lavoro, dalla raccolta di ID prodotto e token di pagamento all’invio di dati di carte rubate a terze parti malintenzionate e alla simulazione di un flusso di pagamento completo, è altamente mirato e metodico. È progettato per integrarsi nei normali schemi di traffico, rendendo il rilevamento incredibilmente difficile per i tradizionali sistemi di rilevamento delle frodi.“, continua il rapporto Socket.

La pubblicazione del pacchetto su PyPI, una delle fonti più popolari per le librerie Python, rappresenta un campanello d’allarme importante: anche un singolo pacchetto può avere impatti gravi se utilizzato in modo superficiale da sviluppatori o sistemi automatizzati.

Le implicazioni per WooCommerce e lo sviluppo open-source

Questo attacco evidenzia la vulnerabilità delle piattaforme open-source e l’urgente necessità di implementare meccanismi di controllo più efficaci per prevenire l’infiltrazione di codice dannoso.

La scoperta di “disgrasya” è un chiaro esempio di come l’ecosistema open-source, pur essendo una risorsa straordinaria per la comunità tecnologica, possa diventare un veicolo per attacchi sofisticati se non adeguatamente monitorato. È essenziale che sviluppatori, aziende e gestori di repository collaborino per rafforzare le difese dell’intera filiera digitale.

Su Salvatore Lombardo 384 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.