恶意StripeApi NuGet包模仿官方库窃取API令牌

网络安全研究人员披露了在NuGet Gallery上发现的一个新恶意软件包的详细信息，该软件包冒充金融服务公司Stripe的库，企图针对金融行业发起攻击。

这个代号为StripeApi.Net的恶意软件包试图伪装成Stripe.net，后者是Stripe公司的合法库，下载量超过7500万次。该恶意包由名为StripePayments的用户于2026年2月16日上传，目前已被移除。

ReversingLabs的安全研究员Petar Kirhmajer表示："这个恶意软件包的NuGet页面被设计得尽可能与官方Stripe.net包相似。它使用了与合法软件包相同的图标，包含几乎相同的说明文档，只是将'Stripe.net'的引用替换为'Stripe-net'。"

为了进一步提高这个域名抢注包的可信度，该攻击活动背后的威胁行为者据说人为地将下载量夸大到超过18万次。但有趣的是，这些下载量分布在506个版本中，每个版本平均记录约300次下载。

该恶意包复制了合法Stripe包的部分功能，但同时修改了某些关键方法来收集和传输敏感数据，包括用户的Stripe API令牌，将这些信息发送给威胁行为者。由于代码库的其余部分保持完全正常功能，不太可能引起意外下载它的开发者的怀疑。

ReversingLabs表示，他们在该软件包初次发布后"相对较快"地发现并报告了这个威胁，导致它在造成严重损害之前就被移除。

这家软件供应链安全公司还指出，这一活动标志着从之前利用虚假NuGet包针对加密货币生态系统并促进钱包密钥盗取的攻击活动发生了转变。

Kirhmajer说："错误下载并集成像StripeAPI.net这样的域名抢注库的开发者，他们的应用程序仍然可以成功编译并按预期运行。付款处理会正常进行，从开发者的角度来看，似乎没有任何问题。然而在后台，敏感数据正在被恶意行为者秘密复制和窃取。"

Q&A

Q1：StripeApi.Net恶意包是如何伪装官方库的？

A：StripeApi.Net通过使用与官方Stripe.net包相同的图标、几乎相同的说明文档来伪装，只是将包名从'Stripe.net'改为'Stripe-net'，还人为地将下载量夸大到超过18万次，分布在506个版本中。

Q2：这个恶意包会窃取什么数据？

A：该恶意包主要窃取用户的Stripe API令牌等敏感数据。它复制了合法Stripe包的部分功能，但修改了关键方法来收集和传输这些敏感信息给威胁行为者。

Q3：开发者如何识别这类恶意包？

A：这类恶意包很难识别，因为它们保持了正常功能，应用程序能成功编译运行，付款处理也正常。开发者应该仔细检查包名拼写，验证发布者身份，并关注官方渠道的安全通告。