网络安全研究人员发现，一个名为"disgrasya"的恶意Python包在开源平台PyPI上被下载超过3.4万次。该工具通过滥用正规WooCommerce电商平台的API接口，专门用于验证被盗信用卡的有效性。

针对支付网关的自动化攻击

该脚本主要针对使用CyberSource支付网关的WooCommerce商店实施攻击。信用卡盗刷（Carding）犯罪者通常需要验证从暗网数据泄露中获取的大量信用卡信息，以评估其可利用价值。通过这个工具，攻击者能够自动化完成这一关键步骤。

虽然该恶意包现已被PyPI下架，但其高下载量显示出此类恶意操作的猖獗程度。安全公司Socket的研究报告指出："与依赖欺骗或域名仿冒的传统供应链攻击不同，disgrasya甚至没有试图伪装成合法软件。它公然利用PyPI作为传播渠道，面向更广泛的欺诈者群体。"

值得注意的是，攻击者竟明目张胆地在软件描述中承认其恶意用途。该包描述写道："一个通过多线程和代理检查多支付网关信用卡有效性的工具"。Socket指出，该包的恶意功能是在7.36.9版本中引入的，这可能是为了规避安全审查——平台对新提交包的检测通常比后续更新更严格。

模拟购物流程验证信用卡

POST请求外传信用卡数据 来源：Socket

该恶意包包含的Python脚本会访问正规WooCommerce网站，收集商品ID并通过调用商店后端将商品加入购物车。随后，脚本会跳转到结账页面，窃取CSRF令牌和捕获上下文（capture context）——这是CyberSource用于安全处理信用卡数据的代码片段。

Socket表示，这些信息通常隐藏在页面中且会快速失效，但脚本能即时获取它们，同时用伪造的客户信息填充结账表单。关键的是，脚本并非将盗取的信用卡直接发送至支付网关，而是发送至攻击者控制的服务器（railgunmisaka.com）。该服务器伪装成CyberSource，返回伪造的信用卡令牌。

交易结果输出 来源：Socket

最后，脚本会提交包含令牌化信用卡的订单。若交易通过，则证明该卡有效；若失败则记录错误并尝试下一张卡。通过这种方式，攻击者能够自动化验证大量被盗信用卡。这些已验证的信用卡随后可被用于金融欺诈或在网络犯罪市场出售。

防御信用卡盗刷攻击的建议

Socket指出，这种端到端的结账模拟流程使得欺诈检测系统难以识别。研究人员表示："从收集商品ID和结账令牌，到将盗取的信用卡数据发送给恶意第三方，再到模拟完整结账流程——整个工作流程高度定向且系统化。它被设计成与正常流量模式混为一体，使传统欺诈检测系统极难发现。"

不过，Socket仍提出多种缓解措施：

• 拦截5美元以下的超低价值订单（信用卡盗刷的典型特征）
• 监控具有异常高失败率的多笔小额订单
• 关注来自单一IP地址或地区的高频结账行为
• 在结账流程中添加CAPTCHA验证步骤以干扰自动化脚本
• 对结账和支付接口实施速率限制

参考来源：

Carding tool abusing WooCommerce API downloaded 34K times on PyPI