概要
サイバーセキュリティ研究者は、金融セクターを標的とした新しい悪意のあるパッケージについての詳細を公表しました。このパッケージは、Stripeから合法的なライブラリであるStripe.netを模倣しており、NuGetギャラリーにアップロードされました。
背景
この悪意のあるパッケージは、「StripeApi.Net」というコードネームで知られています。これは、Stripeから合法的にダウンロードされた「Stripe.net」ライブラリを模倣しており、ユーザー名「StripePayments」によって2026年2月16日にアップロードされました。
詳細
NuGetページは、公式のStripe.netパッケージと非常に似たように設定されています。同じアイコンを使用し、READMEもほとんど同一で、「Stripe.net」を「Stripe-net」と置き換えています。
- 脅威アクターはダウンロード数を偽装して180,000を超えるようにしました。
しかし、ダウンロード数は506のバージョンに分散されており、各バージョンあたり平均300回程度のダウンロードがありました。
機能と脅威
このパッケージは合法的なStripeパッケージの一部の機能を模倣していますが、重要なメソッドを変更してユーザーのStripe APIトークンなどの機密データを収集し、脅威アクターに転送します。
- 他のコードベースは完全に機能しているため、不注意な開発者が意図せずダウンロードした場合でも、問題が見つかる可能性は低いです。
対応
ReversingLabsは、パッケージが最初にリリースされた直後に発見し報告しました。これにより、重大な被害を受ける前に削除されました。
- この活動は、以前のキャンペーンで偽のNuGetパッケージを使用して暗号通貨エコシステムを標的としたものから変化しています。
開発者への警告
脅威アクターによってダウンロードされ、統合されたタイポスクワットライブラリ(StripeAPI.net)は、アプリケーションが正常にコンパイルされ、意図した通りに機能します。
- しかし、バックグラウンドで機密データが秘密裏にコピーおよびエクスフィレートされる可能性があります。
元記事: https://thehackernews.com/2026/02/malicious-stripeapi-nuget-package.html