В репозитории программных пакетов NuGet Gallery был обнаружен вредоносный код, который идеально маскировался под официальную библиотеку API финансовой компании Stripe. Эта атака на цепочку поставок программного обеспечения демонстрирует стратегический сдвиг киберпреступников, которые теперь целенаправленно атакуют традиционный финансовый сектор вместо привычных целей.
Злоумышленник, действовавший под именем пользователя StripePayments, загрузил на платформу вредоносный пакет, получивший название . Официальной датой загрузки этого скомпрометированного компонента числится 16 февраля 2026 года.
Настоящая, легитимная библиотека носит официальное название и имеет колоссальный уровень доверия среди разработчиков, что подтверждается более чем 75 миллионами подлинных скачиваний. В противовес ей, злоумышленники в текстовом файле Readme вредоносного пакета использовали измененное название Stripe-net, применяя метод тайпсквоттинга для создания путаницы.
Для формирования иллюзии достоверности и популярности хакеры применили масштабную манипуляцию с метриками платформы. Вредоносная библиотека получила более 180 000 фиктивных скачиваний, которые были искусственно накручены автором атаки. В общей сложности киберпреступник загрузил 506 различных версий пакета, каждая из которых в среднем собирала около 300 фальшивых загрузок.
Механизм обмана разработчиков строился на глубокой визуальной и текстовой мимикрии. Страница фальшивого компонента в NuGet Gallery была настроена так, чтобы максимально точно копировать официальную: злоумышленники использовали абсолютно идентичную иконку и разместили практически точную копию оригинального файла Readme.
Главной особенностью подделки стала ее операционная скрытность. Вредоносный пакет полностью воспроизводил базовый функционал легитимной библиотеки Stripe. Приложения с интегрированным поддельным кодом успешно компилировались, работали в штатном режиме, а все платежи обрабатывались нормально, что не позволяло разработчикам заподозрить технический сбой.
Основная угроза скрывалась в модификации определенных критических методов внутри в остальном полностью работоспособной кодовой базы. Главной целью эксплойта был тайный сбор, копирование и последующая передача конфиденциальных данных — непосредственно API-токенов Stripe — на серверы злоумышленника.
Угроза была нейтрализована благодаря вмешательству компании ReversingLabs, специализирующейся на безопасности цепочек поставок программного обеспечения. Исследователь кибербезопасности Петар Кирхмайер (Petar Kirhmajer) обнаружил подделку относительно скоро после ее выпуска, после чего вредоносный пакет был полностью удален из репозитория и в настоящий момент недоступен, что предотвратило серьезный ущерб.
Этот инцидент фиксирует принципиальный сдвиг в ландшафте киберугроз. Если предыдущие кампании, использующие поддельные пакеты в NuGet, в первую очередь фокусировались на экосистеме криптовалют с целью кражи ключей от криптокошельков, то теперь хакеры перешли к прямым атакам на основные финансовые институты и сервисы.
Изображение носит иллюстративный характер
Злоумышленник, действовавший под именем пользователя StripePayments, загрузил на платформу вредоносный пакет, получивший название . Официальной датой загрузки этого скомпрометированного компонента числится 16 февраля 2026 года.
Настоящая, легитимная библиотека носит официальное название и имеет колоссальный уровень доверия среди разработчиков, что подтверждается более чем 75 миллионами подлинных скачиваний. В противовес ей, злоумышленники в текстовом файле Readme вредоносного пакета использовали измененное название Stripe-net, применяя метод тайпсквоттинга для создания путаницы.
Для формирования иллюзии достоверности и популярности хакеры применили масштабную манипуляцию с метриками платформы. Вредоносная библиотека получила более 180 000 фиктивных скачиваний, которые были искусственно накручены автором атаки. В общей сложности киберпреступник загрузил 506 различных версий пакета, каждая из которых в среднем собирала около 300 фальшивых загрузок.
Механизм обмана разработчиков строился на глубокой визуальной и текстовой мимикрии. Страница фальшивого компонента в NuGet Gallery была настроена так, чтобы максимально точно копировать официальную: злоумышленники использовали абсолютно идентичную иконку и разместили практически точную копию оригинального файла Readme.
Главной особенностью подделки стала ее операционная скрытность. Вредоносный пакет полностью воспроизводил базовый функционал легитимной библиотеки Stripe. Приложения с интегрированным поддельным кодом успешно компилировались, работали в штатном режиме, а все платежи обрабатывались нормально, что не позволяло разработчикам заподозрить технический сбой.
Основная угроза скрывалась в модификации определенных критических методов внутри в остальном полностью работоспособной кодовой базы. Главной целью эксплойта был тайный сбор, копирование и последующая передача конфиденциальных данных — непосредственно API-токенов Stripe — на серверы злоумышленника.
Угроза была нейтрализована благодаря вмешательству компании ReversingLabs, специализирующейся на безопасности цепочек поставок программного обеспечения. Исследователь кибербезопасности Петар Кирхмайер (Petar Kirhmajer) обнаружил подделку относительно скоро после ее выпуска, после чего вредоносный пакет был полностью удален из репозитория и в настоящий момент недоступен, что предотвратило серьезный ущерб.
Этот инцидент фиксирует принципиальный сдвиг в ландшафте киберугроз. Если предыдущие кампании, использующие поддельные пакеты в NuGet, в первую очередь фокусировались на экосистеме криптовалют с целью кражи ключей от криптокошельков, то теперь хакеры перешли к прямым атакам на основные финансовые институты и сервисы.
