Как фальшивый пакет StripeApi.Net в NuGet Gallery незаметно похищал финансовые API-токены разработчиков?

В репозитории программных пакетов NuGet Gallery был обнаружен вредоносный код, который идеально маскировался под официальную библиотеку API финансовой компании Stripe. Эта атака на цепочку поставок программного обеспечения демонстрирует стратегический сдвиг киберпреступников, которые теперь целенаправленно атакуют традиционный финансовый сектор вместо привычных целей.
Как фальшивый пакет StripeApi.Net в NuGet Gallery незаметно похищал финансовые API-токены разработчиков?
Изображение носит иллюстративный характер

Злоумышленник, действовавший под именем пользователя StripePayments, загрузил на платформу вредоносный пакет, получивший название . Официальной датой загрузки этого скомпрометированного компонента числится 16 февраля 2026 года.

Настоящая, легитимная библиотека носит официальное название и имеет колоссальный уровень доверия среди разработчиков, что подтверждается более чем 75 миллионами подлинных скачиваний. В противовес ей, злоумышленники в текстовом файле Readme вредоносного пакета использовали измененное название Stripe-net, применяя метод тайпсквоттинга для создания путаницы.

Для формирования иллюзии достоверности и популярности хакеры применили масштабную манипуляцию с метриками платформы. Вредоносная библиотека получила более 180 000 фиктивных скачиваний, которые были искусственно накручены автором атаки. В общей сложности киберпреступник загрузил 506 различных версий пакета, каждая из которых в среднем собирала около 300 фальшивых загрузок.

Механизм обмана разработчиков строился на глубокой визуальной и текстовой мимикрии. Страница фальшивого компонента в NuGet Gallery была настроена так, чтобы максимально точно копировать официальную: злоумышленники использовали абсолютно идентичную иконку и разместили практически точную копию оригинального файла Readme.

Главной особенностью подделки стала ее операционная скрытность. Вредоносный пакет полностью воспроизводил базовый функционал легитимной библиотеки Stripe. Приложения с интегрированным поддельным кодом успешно компилировались, работали в штатном режиме, а все платежи обрабатывались нормально, что не позволяло разработчикам заподозрить технический сбой.

Основная угроза скрывалась в модификации определенных критических методов внутри в остальном полностью работоспособной кодовой базы. Главной целью эксплойта был тайный сбор, копирование и последующая передача конфиденциальных данных — непосредственно API-токенов Stripe — на серверы злоумышленника.

Угроза была нейтрализована благодаря вмешательству компании ReversingLabs, специализирующейся на безопасности цепочек поставок программного обеспечения. Исследователь кибербезопасности Петар Кирхмайер (Petar Kirhmajer) обнаружил подделку относительно скоро после ее выпуска, после чего вредоносный пакет был полностью удален из репозитория и в настоящий момент недоступен, что предотвратило серьезный ущерб.

Этот инцидент фиксирует принципиальный сдвиг в ландшафте киберугроз. Если предыдущие кампании, использующие поддельные пакеты в NuGet, в первую очередь фокусировались на экосистеме криптовалют с целью кражи ключей от криптокошельков, то теперь хакеры перешли к прямым атакам на основные финансовые институты и сервисы.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка