恶意NuGet包StripeApi.Net冒充Stripe库 窃取API令牌

恶意NuGet包针对金融行业 窃取API令牌

网络安全研究人员近期在NuGet Gallery上发现一个恶意软件包，该包冒充金融服务提供商Stripe的官方库Stripe.net。这个伪造的软件包名为StripeApi.Net，由冒充合法开发者的威胁行为者上传，旨在窃取金融行业用户的API令牌。

技术细节

该恶意软件包StripeApi.Net伪装成Stripe的正版.NET库Stripe.net（该库拥有超过7500万次下载）。虽然正版库提供与Stripe支付处理API的安全集成，但伪造版本却隐藏了窃取敏感凭证（包括API令牌）并将其发送至威胁行为者控制的远程服务器的功能。

主要入侵指标包括：

• 软件包名称：StripeApi.Net（与官方Stripe.net存在细微差异）
• 上传者：一个新创建且无任何历史活动的NuGet账户
• 行为：通过嵌入的恶意代码静默窃取凭证

在披露时，该软件包尚未获得大量关注，但其针对金融行业开发者的行为引发担忧，因被盗的API令牌具有极高价值。

影响分析

API令牌是访问金融系统、支付网关和敏感客户数据的关键身份验证凭证。若StripeApi.Net被成功部署，威胁行为者可能实现以下攻击：

• 访问金融交易并操纵支付处理流程
• 窃取客户数据，包括个人身份信息（PII）和支付详情
• 通过被盗凭证在受感染环境中升级攻击

金融行业仍是供应链攻击的主要目标，此事件凸显了软件包仓库中**依赖混淆（dependency confusion）和域名欺骗（typosquatting）**带来的风险。

安全团队建议

为降低恶意NuGet软件包带来的风险，建议采取以下措施：

1. 验证软件包真实性：安装前务必核对软件包名称、发布者及下载量。
2. 使用软件包签名：强制使用数字签名软件包以确保完整性。
3. 监控依赖项：部署**软件成分分析（SCA）**工具，检测可疑或未经授权的软件包。
4. 限制NuGet来源：配置开发环境，仅允许从可信仓库获取软件包。
5. 培训开发者：提高对域名欺骗攻击的认识，强调验证软件包来源的重要性。

安全团队应扫描环境中是否存在StripeApi.Net，并立即撤销所有暴露的API令牌。NuGet Gallery已移除该恶意软件包，但持续警惕仍是防范类似攻击的关键。

来源：The Hacker News