网络安全研究人员发现，恶意一个名为"disgrasya"的信用下载恶意Python包在开源平台PyPI上被下载超过3.4万次
。该工具通过滥用正规WooCommerce电商平台的卡验API接口，专门用于验证被盗信用卡的证工有效性 。

针对支付网关的台被自动化攻击

该脚本主要针对使用CyberSource支付网关的WooCommerce商店实施攻击。信用卡盗刷（Carding）犯罪者通常需要验证从暗网数据泄露中获取的恶意大量信用卡信息
，以评估其可利用价值 。信用下载通过这个工具，卡验攻击者能够自动化完成这一关键步骤  。模板下载证工

虽然该恶意包现已被PyPI下架 ，台被但其高下载量显示出此类恶意操作的恶意猖獗程度。安全公司Socket的信用下载研究报告指出："与依赖欺骗或域名仿冒的传统供应链攻击不同 ，disgrasya甚至没有试图伪装成合法软件 。卡验它公然利用PyPI作为传播渠道，证工面向更广泛的台被欺诈者群体。"

值得注意的是
，攻击者竟明目张胆地在软件描述中承认其恶意用途 。源码下载该包描述写道 ："一个通过多线程和代理检查多支付网关信用卡有效性的工具"。Socket指出 ，该包的恶意功能是在7.36.9版本中引入的 ，这可能是为了规避安全审查——平台对新提交包的检测通常比后续更新更严格
。

模拟购物流程验证信用卡

POST请求外传信用卡数据 来源
：Socket

该恶意包包含的Python脚本会访问正规WooCommerce网站
，收集商品ID并通过调用商店后端将商品加入购物车 。随后，服务器租用脚本会跳转到结账页面，窃取CSRF令牌和捕获上下文（capture context）——这是CyberSource用于安全处理信用卡数据的代码片段。

Socket表示 ，这些信息通常隐藏在页面中且会快速失效，但脚本能即时获取它们 ，同时用伪造的客户信息填充结账表单。关键的是
，脚本并非将盗取的信用卡直接发送至支付网关，云计算而是发送至攻击者控制的服务器（railgunmisaka.com） 。该服务器伪装成CyberSource ，返回伪造的信用卡令牌 。

交易结果输出 来源：Socket

最后
，脚本会提交包含令牌化信用卡的订单
。若交易通过
 ，则证明该卡有效；若失败则记录错误并尝试下一张卡
。通过这种方式 ，攻击者能够自动化验证大量被盗信用卡。这些已验证的亿华云信用卡随后可被用于金融欺诈或在网络犯罪市场出售。

防御信用卡盗刷攻击的建议

Socket指出，这种端到端的结账模拟流程使得欺诈检测系统难以识别 。研究人员表示："从收集商品ID和结账令牌，到将盗取的信用卡数据发送给恶意第三方，再到模拟完整结账流程——整个工作流程高度定向且系统化。它被设计成与正常流量模式混为一体，使传统欺诈检测系统极难发现。"

不过
，Socket仍提出多种缓解措施：

拦截5美元以下的超低价值订单（信用卡盗刷的高防服务器典型特征）监控具有异常高失败率的多笔小额订单关注来自单一IP地址或地区的高频结账行为在结账流程中添加CAPTCHA验证步骤以干扰自动化脚本对结账和支付接口实施速率限制