恶意 StripeApi NuGet 包模仿官方库并窃取 API 令牌

发布: 3天前 (2026年2月26日 GMT+8 18:09)

3 分钟阅读

Source: The Hacker News

Overview

网络安全研究人员披露了一款在 NuGet Gallery 上发现的恶意软件包，该软件包冒充金融服务公司 Stripe 的库，企图针对金融行业。

该软件包代号为 StripeApi.Net，伪装成合法的 Stripe.net 库（下载量超过 7500 万次）。它由名为 StripePayments 的用户于 2026 年 2 月 16 日上传，随后已被移除。

“恶意软件包的 NuGet 页面被设置得与官方 Stripe.net 包几乎一模一样，” ReversingLabs 研究员 Petar Kirhmajer 说。“它使用了与正版包相同的图标，并包含几乎相同的 README，只是把 ‘Stripe.net’ 替换为 ‘Stripe‑net’。”

Stripe 恶意软件截图

威胁行为者人为地将下载次数膨胀至 180 000 以上。但这些下载分布在 506 个不同版本中，每个版本的平均下载量约为 300 次。

ThreatLocker 下载图表

该软件包复制了合法 Stripe 库的大部分功能，但它修改了关键方法，以 收集并外泄敏感数据，包括用户的 Stripe API 令牌，发送给威胁行为者。其余代码仍保持可用，使应用程序能够编译并运行而不引起怀疑。

Stripe 库代码截图

ReversingLabs 报告称，在该软件包发布后 相对较快 地发现并通知了 NuGet 维护者，导致其在造成严重损害之前被下架。

此事件标志着攻击者从之前针对加密货币生态系统的伪造 NuGet 包（参见早前关于假 Nethereum 包和 npm 上的假 WhatsApp API 包的报告）转向金融领域。

“误下载并集成了像 StripeAPI.net 这样的拼写变体库的开发者，仍然可以让他们的应用程序成功编译并按预期运行，” Kirhmajer 解释道。“支付会正常处理，从开发者的角度看，似乎没有任何异常。但在后台，敏感数据正被恶意行为者悄悄复制并外泄。”