0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Ошибся буквой — взломали. Как хакеры зарабатывают на невнимательности программистов

ReversingLabs Stripe NuGet StripeApi.Net Stripe.net Supabase цепочка поставок
Ошибся буквой — взломали. Как хакеры зарабатывают на невнимательности программистов
ReversingLabs Stripe NuGet StripeApi.Net Stripe.net Supabase цепочка поставок

Злоумышленники создали идеального двойника популярного финансового инструмента.

image

Команда ReversingLabs обнаружила вредоносный пакет в репозитории NuGet, который маскировался под библиотеку Stripe.net и пытался перехватывать ключи доступа к платёжной платформе Stripe. Случай показал, что злоумышленники, ранее сосредоточенные преимущественно на криптопроектах, переключаются на инструменты, связанные с финансовыми сервисами.

Stripe.net — официальный пакет для .NET, который помогает приложениям работать с API Stripe и давно стал стандартным выбором для интеграции онлайн-платежей. Компрометация такого компонента в цепочке поставок могла бы привести к утечке API-ключей и данных клиентов, а в худшем сценарии — к доступу к аккаунтам Stripe и манипуляциям с операциями.

Вместо атаки на официальный пакет злоумышленники выбрали тайпсквоттинг и опубликовали похожее название StripeApi.Net. Страница пакета выглядела максимально правдоподобно: тот же значок, почти идентичное описание и метки, ссылки, ведущие на ресурсы Stripe, а владелец назывался StripePayments. Одним из немногих визуальных отличий оказался стандартный аватар профиля NuGet, тогда как у официального пакета используется фирменный логотип.

ReversingLabs отмечает и попытку создать иллюзию популярности. Пакету приписали больше 180 тысяч загрузок, но распределили их по 506 версиям, в среднем по несколько сотен на релиз, чтобы статистика выглядела естественнее. Внутри находились DLL, повторяющие легитимный код Stripe.net, но с изменениями в ключевых методах. При инициализации клиента библиотека перехватывала API-токен и передавала его вместе с идентификатором машины на легитимный сервер Supabase, который злоумышленники использовали как инфраструктуру для сбора данных. Платформа NuGet уже сталкивалась с подобными схемами ранее.

По оценке ReversingLabs, реальный ущерб мог оказаться минимальным. Пакет опубликовали около 16 февраля, затем быстро начали «обновлять», а после уведомления администрация NuGet удалила находку. При проверке базы Supabase следов украденных токенов не нашли, кроме тестовой записи, поэтому компрометация реальных проектов выглядит маловероятной.

Инцидент вновь обнажил риск зависимости от сторонних библиотек. Поддельные пакеты часто сохраняют рабочий функционал, поэтому сборка проходит без ошибок и платежи продолжают обрабатываться, а утечка идёт параллельно и незаметно. ReversingLabs также упомянула, что подобные кампании затрагивают не только NuGet, и напомнила о вспышках вредоносных пакетов в других экосистемах, включая npm.