Pesquisadores de segurança digital identificaram três bibliotecas maliciosas no repositório oficial do Python (PyPI) com o objetivo de roubar dados sensíveis e testar cartões de crédito furtados. Os pacotes, nomeados como bitcoinlibdbfix, bitcoinlib-dev e disgrasya, somaram mais de 39 mil downloads antes de serem removidos.
Os dois primeiros fingiam ser atualizações legítimas para o módulo bitcoinlib, mas incluíam códigos maliciosos que substituíam comandos e extraíam arquivos confidenciais. Seus criadores até interagiram em tópicos no GitHub, tentando convencer usuários a adotarem as versões falsas. Já o pacote disgrasya continha um script automatizado usado para fraudes em lojas WooCommerce que utilizam o CyberSource como sistema de pagamento.
Esse script imitava o comportamento de um comprador legítimo: selecionava produtos, simulava compras e preenchia formulários com dados de cartões roubados. Isso permitia verificar se os cartões ainda eram válidos, técnica conhecida como carding. Os dados confirmados eram então enviados a um servidor controlado por criminosos, evitando detecção por sistemas antifraude.
O caso expõe os riscos de confiar cegamente em pacotes públicos e ressalta a importância de práticas rigorosas de verificação e segurança no ecossistema de software open source.
