Imperva rapporte une attaque sophistiquée impliquant un package Python malveillant nommé ‘cloudscrapersafe’ sur PyPI. Ce package se fait passer pour un outil légitime de scraping web, mais intègre des capacités de vol de cartes de crédit.
Le malware cible spécifiquement les transactions des passerelles de paiement, extrayant les numéros de cartes et les dates d’expiration avant d’exfiltrer ces données vers un bot Telegram. Cette attaque illustre les risques des attaques de la chaîne d’approvisionnement et l’importance d’une vigilance accrue lors de l’utilisation d’outils de contournement de sécurité.
Techniquement, l’attaque modifie la classe requests.Session pour intercepter les requêtes POST vers trois endpoints de passerelles de paiement spécifiques, encodés en base64 pour l’obfuscation. Le code malveillant injecté dans les gestionnaires de requêtes et de réponses extrait les données des cartes de crédit des soumissions de formulaires et des payloads JSON.
Le malware utilise des tableaux de code de caractères obfusqués pour reconstruire les URLs de l’API du bot Telegram pour l’exfiltration des données, déclenchant l’envoi uniquement lorsque des indicateurs d’approbation de transaction sont détectés dans les en-têtes de réponse ou les payloads JSON contenant des marqueurs de succès spécifiques.
Cet article est une analyse technique détaillant une attaque de la chaîne d’approvisionnement par un package Python malveillant.
🧠 TTP et IOC détecté
TTP
T1195.002 - Supply Chain Compromise: Compromise Software Dependencies and Development Tools, T1071.001 - Application Layer Protocol: Web Protocols, T1056.001 - Input Capture: Keylogging, T1027 - Obfuscated Files or Information, T1041 - Exfiltration Over C2 Channel
IOC
Package name: cloudscrapersafe, Communication channel: Telegram bot API
🔗 Source originale : https://www.imperva.com/blog/from-cloudflare-bypass-to-credit-card-theft/