Sicherheitsforscher entdeckten ein bösartiges NuGet-Paket, das die legitime Stripe-Bibliothek nachahmte und darauf abzielte, API-Token von Entwicklern zu stehlen.
Cybersicherheitsspezialisten haben ein neues Malware-Paket enthüllt, das im NuGet-Repository auftauchte und die Bibliothek des Finanzdienstleisters Stripe imitierte, um gezielt den Finanzsektor ins Visier zu nehmen.
Das Paket mit dem Namen StripeApi.Net gab sich als Stripe.net aus – eine legitime Bibliothek von Stripe, die über 75 Millionen Downloads verzeichnet. Ein Nutzer namens StripePayments lud das manipulierte Paket am 16. Februar 2026 hoch. Das Paket ist mittlerweile nicht mehr verfügbar.
“Die NuGet-Seite des bösartigen Pakets war darauf ausgerichtet, dem offiziellen Stripe.net-Paket so ähnlich wie möglich zu erscheinen”, erklärte Petar Kirhmajer von ReversingLabs. “Es verwendet dasselbe Icon wie das legitime Paket und enthält ein nahezu identisches Readme, wobei nur die Verweise von ‘Stripe.net’ zu ‘Stripe-net’ geändert wurden.”
Um die Glaubwürdigkeit des Typosquatting-Pakets zusätzlich zu erhöhen, sollen die Angreifer die Download-Zahlen künstlich auf über 180.000 aufgeblasen haben. Allerdings mit einer Besonderheit: Die Downloads waren auf 506 verschiedene Versionen verteilt, jede mit etwa 300 Downloads im Durchschnitt.
Das Paket repliziert zwar einen Großteil der Funktionalität des echten Stripe-Pakets, modifiziert aber gezielt kritische Methoden, um sensible Daten abzufangen und weiterzuleiten – insbesondere Stripe API-Token der Nutzer an die Angreifer. Da der restliche Code vollständig funktionsfähig bleibt, hätten arglose Entwickler, die das Paket versehentlich heruntergeladen hätten, den Betrug wahrscheinlich nicht bemerkt.
ReversingLabs zufolge wurde das Paket “relativ schnell” nach seiner Veröffentlichung identifiziert und gemeldet, sodass es vom Markt genommen wurde, bevor größerer Schaden entstehen konnte.
Das Sicherheitsunternehmen beobachtet mit dieser Kampagne einen neuen Trend: Bisherige Angriffe über manipulierte NuGet-Pakete zielten hauptsächlich auf die Kryptowährungsbranche ab und versuchten, Wallet-Schlüssel zu stehlen.
“Entwickler, die versehentlich eine täuschend ähnliche Bibliothek wie StripeAPI.net herunterladen und integrieren, werden feststellen, dass ihre Anwendungen kompilieren und wie beabsichtigt funktionieren”, so Kirhmajer weiter. “Zahlungen werden normal verarbeitet, und aus der Perspektive des Entwicklers scheint nichts zu funktionieren. Im Hintergrund jedoch werden sensible Daten kontinuierlich von Cyberkriminellen kopiert und ausgeleitet.”
Quelle: The Hacker News