网络安全研究人员披露了在NuGet Gallery上发现的一个新恶意软件包的详细信息,该软件包冒充金融服务公司Stripe的库,企图针对金融行业发起攻击。
这个代号为StripeApi.Net的恶意软件包试图伪装成Stripe.net,后者是Stripe公司的合法库,下载量超过7500万次。该恶意包由名为StripePayments的用户于2026年2月16日上传,目前已被移除。
ReversingLabs的安全研究员Petar Kirhmajer表示:"这个恶意软件包的NuGet页面被设计得尽可能与官方Stripe.net包相似。它使用了与合法软件包相同的图标,包含几乎相同的说明文档,只是将'Stripe.net'的引用替换为'Stripe-net'。"
为了进一步提高这个域名抢注包的可信度,该攻击活动背后的威胁行为者据说人为地将下载量夸大到超过18万次。但有趣的是,这些下载量分布在506个版本中,每个版本平均记录约300次下载。
该恶意包复制了合法Stripe包的部分功能,但同时修改了某些关键方法来收集和传输敏感数据,包括用户的Stripe API令牌,将这些信息发送给威胁行为者。由于代码库的其余部分保持完全正常功能,不太可能引起意外下载它的开发者的怀疑。
ReversingLabs表示,他们在该软件包初次发布后"相对较快"地发现并报告了这个威胁,导致它在造成严重损害之前就被移除。
这家软件供应链安全公司还指出,这一活动标志着从之前利用虚假NuGet包针对加密货币生态系统并促进钱包密钥盗取的攻击活动发生了转变。
Kirhmajer说:"错误下载并集成像StripeAPI.net这样的域名抢注库的开发者,他们的应用程序仍然可以成功编译并按预期运行。付款处理会正常进行,从开发者的角度来看,似乎没有任何问题。然而在后台,敏感数据正在被恶意行为者秘密复制和窃取。"
Q&A
Q1:StripeApi.Net恶意包是如何伪装官方库的?
A:StripeApi.Net通过使用与官方Stripe.net包相同的图标、几乎相同的说明文档来伪装,只是将包名从'Stripe.net'改为'Stripe-net',还人为地将下载量夸大到超过18万次,分布在506个版本中。
Q2:这个恶意包会窃取什么数据?
A:该恶意包主要窃取用户的Stripe API令牌等敏感数据。它复制了合法Stripe包的部分功能,但修改了关键方法来收集和传输这些敏感信息给威胁行为者。
Q3:开发者如何识别这类恶意包?
A:这类恶意包很难识别,因为它们保持了正常功能,应用程序能成功编译运行,付款处理也正常。开发者应该仔细检查包名拼写,验证发布者身份,并关注官方渠道的安全通告。
好文章,需要你的鼓励
Waymo近日发布软件更新,对旗下约4000辆自动驾驶车队实施召回,以帮助车辆规避积水道路。美国国家公路交通安全管理局(NHTSA)指出,此前Waymo机器人出租车在遭遇无法通行的积水路段时,仅减速而未完全停车。此次召回涵盖第五代和第六代自动驾驶系统车辆,共计3791辆。Waymo表示正在完善软件防护措施,并已限制车辆在极端天气及易发洪涝区域的运营。
南京大学提出Light-Omni框架,通过全局状态与潜在状态双机制,让AI视频助理无需反复推理即可实现精准记忆检索,速度提升逾12倍,准确率同步提高。
路面坑洞每年给城市造成数百万美元损失。车队管理公司Samsara推出名为"Ground Intelligence"的AI解决方案,通过已安装在数百万辆商用卡车上的摄像头,自动识别并追踪坑洞的位置与劣化程度。该系统以仪表盘形式呈现,可主动向城市管理者推送预警信息,将被动响应转变为主动规划。目前,芝加哥已成为其新客户。未来还将扩展至涂鸦、损坏护栏等城市基础设施监测。
TREK方法通过引入外部验证解法对AI进行短期校准,解决了GRPO训练在困难题目上因无法探索正确解法区域而陷入瓶颈的问题,在数学推理和智能体任务上均取得明显提升。