악성 StripeApi NuGet 패키지, 공식 라이브러리를 모방하고 API 토큰을 탈취

Source: The Hacker News

개요

사이버 보안 연구원들은 금융 서비스 기업 Stripe의 라이브러리를 가장해 금융 부문을 표적으로 삼은 새로운 악성 패키지가 NuGet Gallery에서 발견됐다고 공개했습니다.

이 패키지는 StripeApi.Net이라는 코드명으로, 정식 Stripe.net 라이브러리를 가장했으며, 해당 라이브러리는 7,500만 건 이상의 다운로드 기록을 가지고 있습니다. 2026년 2월 16일에 StripePayments라는 사용자가 업로드했으며 현재는 삭제되었습니다.

“악성 패키지의 NuGet 페이지는 공식 Stripe.net 패키지를 가능한 한 가깝게 흉내 내도록 구성되었습니다,” 라고 ReversingLabs 연구원 Petar Kirhmajer가 말했습니다. “정식 패키지와 동일한 아이콘을 사용하고 거의 동일한 README를 포함하고 있는데, ‘Stripe.net’이라는 표기를 ‘Stripe‑net’으로 바꾸는 정도만 차이가 있습니다.”

오타 스쿼팅 패키지 세부 정보

• 패키지 이름: StripeApi.Net (오타 스쿼팅된 형태 Stripe‑net)
• 업로더: StripePayments
• 업로드 날짜: 2026년 2월 16일
• 상태: NuGet에서 더 이상 제공되지 않음

위협 행위자는 다운로드 수를 인위적으로 부풀려 180 000건 이상으로 만들었습니다. 그러나 이 다운로드는 506개의 서로 다른 버전에 걸쳐 분산되어 있었으며, 각 버전당 평균 약 300건의 다운로드가 기록되었습니다.

악성 행위

이 패키지는 정식 Stripe 라이브러리의 대부분 기능을 복제하지만, 핵심 메서드를 수정하여 사용자의 Stripe API 토큰 등 민감한 데이터를 수집하고 위협 행위자에게 유출하도록 만들었습니다. 나머지 코드는 정상적으로 동작하도록 유지되어, 애플리케이션이 컴파일되고 실행될 때 의심을 일으키지 않습니다.

대응 및 완화

ReversingLabs는 패키지 배포 직후 상대적으로 신속하게 NuGet 관리자를 찾아 문제를 보고했으며, 그 결과 심각한 피해가 발생하기 전에 해당 패키지가 삭제되었습니다.

이번 사건은 이전에 암호화폐 생태계를 표적으로 한 가짜 NuGet 패키지 캠페인(예: 가짜 Nethereum 패키지 및 npm의 가짜 WhatsApp API 패키지)와는 다른 흐름을 보여줍니다.

“오타 스쿼팅된 라이브러리인 StripeAPI.net을 실수로 다운로드해 통합한 개발자도 애플리케이션은 정상적으로 컴파일되고 기대대로 동작합니다,” 라고 Kirhmajer는 설명했습니다. “결제는 정상적으로 처리되고, 개발자 입장에서는 문제가 없어 보이지만, 백그라운드에서는 민감한 데이터가 악성 행위자에 의해 은밀히 복사·유출되고 있습니다.”