Investigadores de ciberseguridad han revelado detalles de un nuevo paquete malicioso descubierto en la Galería NuGet que apunta al sector financiero haciéndose pasar por una biblioteca de la empresa de servicios financieros Stripe.
El paquete, cuyo nombre en código StripeApi.Net, intenta hacerse pasar por Stripe.net, la biblioteca oficial de Stripe que se ha descargado más de 75 millones de veces. Este paquete fue subido el 16 de febrero de 2026 por un usuario llamado StripePayments. Este paquete no está disponible actualmente.
«Las páginas NuGet para paquetes maliciosos están configuradas para parecerse lo más posible a los paquetes oficiales de Stripe.net», dijo Petar Kirhmajer de ReversingLabs. «Utiliza el mismo icono que el paquete oficial e incluye un archivo Léame casi idéntico, pero sólo reemplaza las referencias a ‘Stripe.net’ por ‘Stripe-net'».
Se dice que los atacantes detrás de esta campaña han inflado artificialmente el número de descargas a más de 180.000 para aumentar aún más la credibilidad de los paquetes con errores tipográficos. Pero en un giro interesante, las descargas se dividieron en 506 versiones, y cada versión promedió alrededor de 300 descargas.
Este paquete replica algunas de las funciones del paquete Stripe legítimo, pero también modifica ciertos métodos clave para recopilar y transmitir datos confidenciales, incluidos los tokens API de Stripe de los usuarios, a los actores de amenazas. El resto del código base es completamente funcional y es poco probable que despierte sospechas por parte de desarrolladores desprevenidos que pueden haberlo descargado sin darse cuenta.
ReversingLabs dijo que descubrió e informó sobre el paquete «relativamente pronto» después de su lanzamiento por primera vez, por lo que se eliminó antes de que pudiera causar daños graves.
La firma de seguridad de la cadena de suministro de software también señaló que esta actividad marca un cambio con respecto a campañas anteriores que aprovecharon paquetes NuGet falsos para apuntar al ecosistema de criptomonedas y facilitar el robo de claves de billetera.
«Incluso si un desarrollador descarga e integra accidentalmente una biblioteca tipográfica como StripeAPI.net, la aplicación se compilará correctamente y funcionará según lo previsto», dijo Kirhmajer. «Los pagos se procesan con éxito y nada parece estar roto desde la perspectiva del desarrollador. Sin embargo, en segundo plano, un atacante malicioso copia y expone en secreto datos confidenciales».
Source link
