Detectan paquete malicioso en NuGet que suplantaba a la librería oficial de Stripe para robar credenciales financieras
Investigadores de seguridad de la firma ReversingLabs han revelado el hallazgo de un paquete malicioso en el repositorio NuGet Gallery, diseñado específicamente para engañar a desarrolladores del sector financiero. El software malintencionado intentaba hacerse pasar por la biblioteca legítima de Stripe para robar tokens de API y datos sensibles.
El paquete, identificado como StripeApi.Net, empleaba técnicas de typosquatting para mimetizarse con Stripe.net, la librería oficial de la plataforma de pagos que cuenta con más de 75 millones de descargas. Según el reporte técnico, el actor de amenazas detrás de esta campaña utilizó el nombre de usuario "StripePayments" y subió el archivo el pasado 16 de febrero de 2026.
Un engaño visual y técnico de alta precisión
Petar Kirhmajer, investigador de ReversingLabs, señaló que la página de NuGet del paquete malicioso fue configurada para ser casi idéntica a la original. "Utiliza el mismo icono que el paquete legítimo y contiene un archivo 'readme' prácticamente igual, cambiando únicamente las referencias de 'Stripe.net' por 'Stripe-net'", explicó el experto.
Para aumentar su credibilidad, los atacantes inflaron artificialmente las estadísticas de descarga, alcanzando una cifra superior a los 180,000 "downloads". No obstante, los analistas notaron una anomalía: estas descargas estaban distribuidas en 506 versiones diferentes, con un promedio de 300 descargas por versión, una táctica inusual para evadir sistemas de detección.
Funcionamiento silencioso
Lo que hace especialmente peligroso a este paquete es su funcionalidad. A diferencia de otros malwares que rompen el código de la aplicación, StripeApi.Net replicaba las funciones reales de Stripe. Esto permitía que las aplicaciones de las víctimas compilaran y procesaran pagos con normalidad.
Sin embargo, en segundo plano, el código modificado interceptaba los tokens de la API de Stripe y los enviaba de forma encubierta a un servidor controlado por los atacantes. "Desde la perspectiva del desarrollador, nada parecía estar roto. Mientras los pagos se procesaban, la información sensible estaba siendo copiada y exfiltrada", advirtió Kirhmajer.
Evolución de las amenazas en la cadena de suministro
Desde ReversingLabs destacan que este incidente marca un cambio en las tendencias de ataques a la cadena de suministro de software. Mientras que campañas anteriores en NuGet solían apuntar a carteras de criptomonedas, este ataque demuestra un interés creciente en el ecosistema de pagos tradicionales y servicios financieros corporativos.
Gracias a la rápida detección y denuncia por parte de la empresa de seguridad, el paquete fue retirado de NuGet Gallery poco después de su lanzamiento, limitando el alcance del daño potencial. Los expertos recomiendan a los equipos de desarrollo verificar minuciosamente los nombres de los paquetes y los perfiles de los autores antes de integrar dependencias externas en sus proyectos.