PyPI から 39,000+ DL の悪意の Python パッケージ:クレカの有効性を自動的に検証

Malicious Python Packages on PyPI Downloaded 39,000+ Times, Steal Sensitive Data

2025/04/04 TheHackerNews — Python Package Index (PyPI) リポジトリで配布される、機密情報を盗み出す悪意のあるライブラリは、クレジットカード・データをテストするように設計されていることを、サイバー・セキュリティ研究者たちが明らかにした。

ReversingLabs によると、それらの悪意のパッケージのうちの2つであるbitcoinlibdbfix と bitcoinlib-dev は、bitcoinlib と呼ばれる正規の Python モジュールで検出されたばかりの問題の修正を装っているという。そして、Socket Research Team により発見された3つ目のパッケージ disgrasya には、WooCommerce ストアをターゲットにする、完全に自動化されたカード・スクリプトが取り込まれている。

pepy.tech の統計によると、これらのパッケージは、削除されるまでの間に数百回のダウンロード数を記録している:

ReversingLabs は、「悪意のライブラリは、どちらも同様の攻撃を試み、機密データベー・ファイルを盗み出する悪意のあるコードで、正規の “clw cli” コマンドを上書きする」と述べている。

興味深いことに、この偽造ライブラリの作者は、 GitHub の問題ディスカッションに参加し、疑いを持たないユーザーを騙して修正プログラムをダウンロードさせ、ライブラリを実行させようとした。ただし、幸いなことに、それには失敗したと言われている。

その一方で、disgrasya も、悪意のソフトウェアであることが判明しており、カード詐欺やクレジットカード情報の窃盗機能を隠そうとしていない。

Socket Research Team は、「悪意のペイロードは、バージョン 7.36.9 で導入され、それ以降のバージョンには、すべて同じ攻撃ロジックが組み込まれている」と述べている。

この種のカード詐欺は、クレジットカード・スタッフィングとも呼ばれ、盗み出したクレジットカード/デビットカードの膨大なリストを、詐欺師が販売者の決済処理システムでテストして、その有効性を検証する、自動化された決済詐欺の形式を指す。この手口は、自動化されたトランザクションの悪用と呼ばれ、より広範な攻撃カテゴリに分類される。

盗み出されたクレジットカード・データの典型的なソースは、フィッシング/スキミング/スティーラーなどである。さまざまな方法により、被害者から盗んだクレジットカードの詳細を、他の脅威アクターに販売することで犯罪行為が促進される、カーディング・フォーラムと関連するものだ。

盗み出したカードに紛失/盗難/無効などの属性がなく、アクティブであることが判明すると、それを悪用るする詐欺師たちは、ギフトカードやプリペイドカードなどを購入し、利益のために転売していく。なお、こうした脅威アクターたちは、カード所有者からの詐欺フラグを避けるために、eコマースサイトで小額の取引を試み、そこでカードが有効性をテストするという。

Socket により特定された不正なパッケージは、盗み出したクレジットカード情報を検証するように設計されており、特に支払いゲートウェイとして Cyber​​Source と WooCommerce を使用する小売業者をターゲットにしている。

このスクリプトは、正当なショッピング活動のアクションをエミュレートし、プログラムで製品を見つけ、それをカートに追加し、WooCommerce チェックアウト・ページに移動し、盗み出したクレジットカード・データを支払いフォームに入力することで、詐欺を達成する。

実際のチェックアウト・プロセスを模倣することで、詐欺検出システムの注意を引くことなく、盗まれたカードの有効性をテストし、クレジットカード番号/有効期限/CVV などの関連情報を、攻撃者の管理下にある外部サーバ “railgunmisaka[.]com” へと流出させる手口である。

Socket は、「ネイティブ・スピーカーには申し訳ないが、”disgrasya” はフィリピン語で災害や事故を意味するスラングである。つまり、オンライン・ストアでの正当な買物客の行動をエミュレートする、複数のステップにわたるプロセスを実行し、詐欺検出をトリガーすることなく、盗まれたクレジットカードを、実際のチェックアウト・システムでテストするという、このパッケージの特徴を表している」とは述べている。

この攻撃者は、PyPI で 34,000 回以上ダウンロードされた Python パッケージ内に、悪意のロジックを埋め込むことで、より大規模な自動化フレームワークにおいて、簡単に使用できるモジュール・ツールを作成し、無害なライブラリに偽装する disgrasya を、強力なカード・ユーティリティに変貌させた。

定期的に発生している PyPI パッケージの汚染ですが、今回はダウンロード数が 39,000 回を超えており、大規模な被害が懸念される状況です。PyPI を利用されている開発者の皆さんは、どうか十分ご注意ください。また、本件によく似た事例として、2025/04/03 に「Stripe API を悪用する Web スキミング:オンライン・ストアから効率よくクレカ情報を盗み出す」という記事を投稿しています。よろしければ、PyPI で検索と併せてご参照下さい。