Исследователи в области кибербезопасности обнаружили опасный пакет в официальном репозитории NuGet, который представлял собой подделку библиотеки Stripe для .NET и был предназначен для похищения конфиденциальных данных разработчиков.
Что произошло
В феврале 2026-го неизвестный злоумышленник загрузил пакет под названием StripeApi.Net, который визуально и функционально имитировал популярную официальную библиотеку Stripe.net: инструмент для интеграции платежей Stripe в .NET-приложения с более чем 75 млн загрузок.
Опубликованный под псевдонимом StripePayments, этот пакет внешне почти не отличался от легитимного: у него был тот же значок, аналогичный файл README и похожие метаданные, за исключением одной буквы в названии. Цель такой подделки запутать разработчиков и заставить их случайно установить вредоносную версию.
Как он работал
Вредоносный пакет содержал большой объём настоящего кода Stripe, чтобы он вел себя как обычная библиотека и не вызывал подозрений. Однако критические методы были изменены: при инициализации класса клиента Stripe вредоносный код собирал Stripe API-токены и отправлял их контролирующим серверам злоумышленников.
Разработчики могли продолжать использовать библиотеку так же, как и настоящую, сборка проекта проходила успешно, платежи обрабатывались, и внешне всё выглядело корректно. В фоновом режиме же происходило тайное копирование и отправка чувствительных данных.
Показатели загрузок и реакция
Чтобы добавить видимости легитимности, злоумышленник специально раздробил показатели: вместо большого числа загрузок для одной версии он создал более 500 версий, которые в сумме получили свыше 180 000 загрузок. Это создавало впечатление органической популярности.
К счастью, специалисты из ReversingLabs обнаружили пакет вскоре после его публикации (16 февраля 2026 г.), и он был быстро удалён с NuGet, прежде чем мог нанести серьёзный вред.
Этот инцидент является примером так называемой атаки на цепочку поставок (software supply chain attack), при которой вредоносный код внедряется не напрямую в конечные системы, а через компоненты, используемые разработчиками при сборке программ.
Ранее аналогичные кампании чаще были направлены на проекты, связанные с криптовалютами, но теперь злоумышленники переключают внимание на финансовые сервисы и инфраструктуру.
Даже если пакет выглядит правдоподобно и имеет высокую популярность, это не гарантирует его безопасности. Разработчикам стоит внимательно проверять имена, авторов и исходники зависимостей, использовать инструменты для анализа цепочки поставок (supply-chain security), ограничивать доверие к пакетам с похожими, но не идентичными именами известных библиотек.
Источник: HN