ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Исследователи в области кибербезопасности раскрыли подробности о новом вредоносном пакете, обнаруженном в NuGet Gallery, который выдавал себя за библиотеку финансовой компании Stripe в попытке атаковать финансовый сектор.

Пакет с кодовым названием StripeApi.Net пытается маскироваться под Stripe.net, легитимную библиотеку Stripe, которая была скачана более 75 миллионов раз. Он был загружен пользователем под ником StripePayments 16 февраля 2026 года. Пакет больше не доступен.

«Страница NuGet для вредоносного пакета настроена так, чтобы максимально походить на официальный пакет Stripe.net», — сказал Петар Кирмайер из ReversingLabs. «Он использует тот же значок, что и легитимный пакет, и содержит почти идентичный файл readme, только ссылки на «Stripe.net» заменены на «Stripe-net».

В попытке придать достоверность пакету с опечаткой, злоумышленник, стоящий за этой кампанией, искусственно завысил количество загрузок до более чем 180 000. Но в интересном повороте событий загрузки были разделены на 506 версий, каждая из которых в среднем регистрировала около 300 загрузок.

Пакет копирует некоторые функции легитимного пакета Stripe, но также модифицирует определенные критические методы для сбора и передачи конфиденциальных данных, включая токен API Stripe пользователя, обратно злоумышленнику. Поскольку остальная часть кодовой базы остается полностью функциональной, маловероятно, что она вызовет подозрения у ничего не подозревающих разработчиков, которые могли случайно загрузить ее.

ReversingLabs заявила, что обнаружила и сообщила о пакете «относительно скоро» после его первоначального выпуска, в результате чего он был удален, не успев нанести серьезный ущерб.

Компания, занимающаяся безопасностью цепочки поставок программного обеспечения, также отметила, что эта деятельность знаменует собой отход от предыдущих кампаний, в которых использовались поддельные пакеты NuGet для атак на экосистему криптовалют и облегчения кражи ключей кошельков.

«Разработчики, которые по ошибке загрузят и интегрируют библиотеку с опечаткой, такую как StripeAPI.net, по-прежнему смогут успешно компилировать свои приложения и использовать их по назначению», — сказал Кирмайер. «Платежи будут обрабатываться в обычном режиме, и с точки зрения разработчика ничего не будет казаться неисправным. Однако в фоновом режиме конфиденциальные данные будут тайно копироваться и выводиться злоумышленниками».